Odborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turla

Odborníci z Kaspersky Lab objevili spojitost mezi dvěma ruskojazyčnými hackerskými skupinami Turla (známé také jako Snake nebo Uroburos) a Sofacy (uváděné také jako Fancy Bear a APT28). Na základě dlouhodobého monitoringu jejich aktivit si v nejnovější verzi malwaru KopiLuwak, vyvinutého skupinou Turla, všimli řady podobností s kódem použitým před měsícem skupinou Sofacy v jejich kampani Zebrocy. Podobné části kódu sloužily k šíření zákeřných aktivit. Odborníci si také všimli nápadně se shodujících cílů hackerů – jejich oběti z řad vládních a armádních subjektů pocházejí převážně ze střední Asie.
Svá zjištění zveřejnili 4. 10. odborníci z týmu Kaspersky Lab GReAT v souhrnné zprávě, která se věnuje aktivitám kyberzločinné skupiny Turla.
KopiLuwak (název odkazuje ke vzácnému druhu kávy) byl poprvé objeven v listopadu 2016. Jednalo se o dokumenty, které obsahovaly malware a povolená makra umožňující spuštění nového škodlivého Javascriptového kódu, který byl zamaskovaný a určený pro systémovou nebo síťovou špionáž. Novou variantu malwaru KopiLuwak zaznamenali odborníci v polovině tohoto roku, kdy se objevily nové oběti v Sýrii a Afghánistánu. Hackeři ze skupiny Turla tentokrát použili novou spear-phishingovou metodu šíření malwaru využívající Windowsové složky s koncovkou .LNK. Bezpečnostní analýza odhalila, že soubory .LNK obsahovaly PowerShell, který měl dekódovat a iniciovat zhoubný obsah malwaru KopiLuwak. Právě tento PowerShall byl téměř identický s tím, který byl o měsíc dříve použit v kampani Zebrocy.
Analytici dále zjistili, že se obě skupiny zajímají o podobné cíle. Mezi ně patří význační političtí činitelé, včetně vládních výzkumných a bezpečnostních subjektů, diplomatické mise nebo vojenské aktivity soustředěné ve střední Asii.
Ve své zprávě odborníci poskytují bližší informace o praktikách skupiny Turla, které podporují jejich hypotézu, že hackeři využili Wi-Fi sítě k šíření svého malwaru Mosquito. Dále objevili nové verze vyspělé kyberšpionážní sítě Carbon, které hackeři obvykle aplikovali pouze na vybrané cíle, o něž měli obzvláštní zájem. Na základě svých analýz předpokládají, že hackeři budou tento nástroj i nadále přetvářet a využívat i v roce 2019. V tomto roce kyberzločinci ze skupiny Turla útočili na cíle na Blízkém Východě, v severní Africe, západní i východní Evropě, střední a jižní Asii i v Americe.
„Turla je jedna z nejstarších, nejpokročilejších a velmi nebezpečných hackerských skupin. Naše analýza ukazuje, že se snaží neustále vyvíjet a vylepšovat své metody a nástroje. Snaží se ve vší tichosti útočit na cíle převážně na východě. Proto by se před touto ruskojazyčnou skupinou měly mít na pozoru především společnosti z této části světa,“ říká Kurt Baumgartner, člen kyberbezpečnostního týmu GReAT společnosti Kaspersky Lab.
Aby se firmy nestaly obětí cílených hackerských útoků, měly by se řídit následujícími doporučeními:
  • Používat účinná firemní bezpečnostní řešení, která zahrnují technologie chránicí před cílenými útoky. Například řešení Kaspersky Threat Management and Defense využívá technologie analyzující síťové anomálie, které v síti zaznamenají a zastaví cílené útoky. Bezpečnostním týmům také poskytuje plnou viditelnost síťových komponent napříč celou infrastrukturou a umožňuje automatickou reakci na napadení.
  • Firemním IT bezpečnostním odborníkům zajistěte přístup k nejnovějším informacím o vývoji kybernetických hrozeb. I nástroje jako jsou indikátory napadení (IOC), detekční pravidla YARA nebo zprávy o aktuálních hrozbách zlepší ochranu podniku před aktivitami hackerů.
  • Ujistěte se, že jsou dobře nastavené celofiremní procesy aktualizací systémů a softwarů.
  • Pokud zaznamenáte indikátory cíleného útoku, zvažte pomoc třetí strany, která vám umožní proaktivně detekovat pokročilé hrozby a zkrátí dobu nutnou na reakci.  Detailnější informace o aktivitách hackerské skupiny Turla se dozvíte na blogu Securelist.com. (9.10. 2018)