Μία εκστρατεία κυβερνοκατασκοπείας που περιλαμβάνει τα γνωστά malware Wipbot και Turla έχει στοχεύσει συστηματικά κυβερνήσεις και πρεσβείες σε μία σειρά χωρών του πρώην Ανατολικού μπλοκ.


Symantec_logo_vertical_2010Το Trojan.Wipbot (ή με την ονομασία Tavdig) αποτελείται από ένα back door που χρησιμοποιείται για να διευκολύνει την αναγνώριση της δραστηριότητας, πριν ο επιτιθέμενος μεταβεί σε μακρόχρονη παρακολούθηση με τη χρήση του Trojan.Turla (επίσης γνωστό και ως Uroboros, Snake και Carbon). Υπολογίζεται ότι αυτός ο συνδυασμός malware έχει χρησιμοποιηθεί σε κλασσικού τύπου δραστηριότητες κατασκοπείας τα τελευταία 4 χρόνια. Λόγω των επιλεγμένων στόχων και του εξελιγμένου malware που χρησιμοποιήθηκε, η Symantec πιστεύει ότι πίσω από αυτές τις επιθέσεις κρύβεται μία ομάδα που έλαβε κρατική χρηματοδότηση.


Το Turla προσφέρει στον επιτιθέμενο ισχυρές δυνατότητες κατασκοπείας. Σεταρισμένο να ξεκινά κάθε φορά που κάνει έναρξη ο υπολογιστής, μόλις ο χρήστης ξεκινήσει τη λειτουργία ενός Web browser, ανοίγει ένα back door που επιτρέπει την επικοινωνία με τους επιτιθέμενους. Μέσω αυτού του back door, οι επιτιθέμενοι μπορούν να αντιγράφουν αρχεία από τον μολυσμένο υπολογιστή, να σβήνουν αρχεία, και να φορτώνουν και να εκτελούν άλλες μορφές malware, μεταξύ άλλων δυνατοτήτων.


Η ομάδα πίσω από το Turla βασίζεται σε μία διττή στρατηγική επίθεσης που περιλαμβάνει μόλυνση των θυμάτων μέσω spear phishing emails και επιθέσεις τύπου watering hole.Οι επιθέσεις watering hole έχουν επαρκείς δυνατότητες έκθεσης, με τους επιτιθέμενους να παραβιάζουν μία σειρά νόμιμων ιστοσελίδων και να προσβάλουν μόνο τα θύματα που τις επισκέπτονται από προεπιλεγμένες ΙΡ διευθύνσεις. Αυτές οι παραβιασμένες ιστοσελίδες φέρουν το Trojan.Wipbot. Είναι πολύ πιθανό, ότι το Wipbot χρησιμοποιείται έπειτα ως downloader για να μεταφέρει τον Turla στο θύμα.


Θύματα
Ενώ οι μολύνσεις αρχικά εμφανίστηκαν σε μία σειρά από Ευρωπαϊκές χώρες, μία πιο βαθιά ανάλυση αποκάλυψε ότι αρκετές μολύνσεις στη Δυτική Ευρώπη έγιναν σε υπολογιστές που ήταν συνδεδεμένοι με ιδιωτικά δίκτυα των χωρών του πρώην Ανατολικού μπλοκ. Αυτές οι μολύνσεις συνέβησαν στις πρεσβείες των χωρών αυτών.


Ανάλυση στις μολύνσεις αποκάλυψε ότι οι επιτιθέμενοι είχαν εστιάσει σε ένα μικρό αριθμό χωρών. Για παράδειγμα, το Μάιο του 2012, το γραφείο του πρωθυπουργού μίας χώρας μέλους της πρώην Σοβιετικής Ένωσης παραβιάστηκε. Αυτή η μόλυνση εξαπλώθηκε γρήγορα και περισσότεροι από 60 υπολογιστές στο γραφείο του πρωθυπουργού τέθηκαν σε κίνδυνο.


Μία άλλη επίθεση έγινε σε έναν υπολογιστή στην πρεσβεία της Γαλλίας σε μία ακόμη χώρα που ανήκε στην πρώην Σοβιετική Ένωση, στο τέλος του 2012. Κατά τη διάρκεια του 2013, η μόλυνση εξαπλώθηκε σε άλλους υπολογιστές συνδεδεμένους με το δίκτυο του υπουργείου εξωτερικών της συγκεκριμένης χώρας. Επίσης, μολύνθηκε και το υπουργείο εσωτερικών. Επιπλέον έρευνα εντόπισε μία συστηματική εκστρατεία κατασκοπείας που είχε ως στόχο το διπλωματικό σώμα. Παρόμοιες μολύνσεις είχαν υποστεί πρεσβείες στο Βέλγιο, στην Ουκρανία, στην Κίνα, στην Ιορδανία, στην Ελλάδα, στο Καζακστάν, στην Αρμενία, στην Πολωνία και στη Γερμανία.


Τουλάχιστον πέντε ακόμη χώρες στην περιοχή έχουν γίνει στόχος παρόμοιων επιθέσεων. Ενώ οι επιτιθέμενοι έχουν κυρίως εστιάσει στο πρώην Ανατολικό μπλοκ, βρέθηκαν και άλλοι στόχοι. Αυτοί περιλαμβάνουν το υπουργείο υγείας μίας Δυτικοευρωπαϊκής χώρας, το υπουργείο παιδείας μίας χώρας στην Κεντρική Αμερική, μία κρατική αρχή ηλεκτρισμού στη Μέση Ανατολή και έναν οργανισμό παροχών υγείας στις Η.Π.Α.


Σημεία επίθεσης
Η ομάδα πίσω από τον Turla χρησιμοποιεί spear phishing emails και watering hole τύπου επιθέσεις για να μολύνει τα θύματά της. Ορισμένα από τα spear phishing emails υποτίθεται ότι προέρχονταν από έναν στρατιωτικό ακόλουθο μίας πρεσβείας στη Μέση Ανατολή και είχε ένα συνημμένο αρχείο που παρίστανε την σύνοψη μίας συνάντησης. Ανοίγοντας το αρχείο, αυτόματα το Trojan.Wipbot εισερχόταν στον υπολογιστή του θύματος. Πιστεύεται ότι το Wipbot μπορεί να είναι ο μηχανισμός πρόσβασης του Turla, καθώς μοιάζουν στη δομή και στον κώδικα.


Από τον Σεπτέμβριο του 2012, η ομάδα έχει παραβιάσει τουλάχιστον 84 νόμιμες ιστοσελίδες για να διευκολύνει τις επιθέσεις τύπου watering hole. Οι ιστοσελίδες που ανήκουν σε διάφορες κυβερνήσεις ή διεθνή πρακτορεία ήταν ανάμεσα σε εκείνες που παραβιάστηκαν από τους επιτιθέμενους.


Η Symantec έχει εντοπίσει τις δραστηριότητες της ομάδας που έχει δημιουργήσει τον Turla εδώ και αρκετά χρόνια. Η ταυτότητα των επιτιθέμενων δεν έχει ακόμη πιστοποιηθεί, αν και όλες οι δραστηριότητες που σχετίζονται με τις επιθέσεις υποδεικνύουν ότι οι περισσότερες επιθέσεις συμβαίνουν κατά τη διάρκεια μίας εργάσιμης ημέρας στη ζώνη ώρας UTC +4.


Το trojan Turla είναι η εξέλιξη ενός παλαιότερου malware, του Trojan.Minit, το οποίο είχε ξεκινήσει τη δραστηριότητά του το 2004. Η σημερινή καμπάνια, είναι αποτέλεσμα μίας καλά καταρτισμένης ομάδας, που είναι ικανή να διεισδύει σε μία σειρά από δίκτυα. Εστιάζει σε στόχους που θα είχαν ενδιαφέρον σε κρατικούς φορείς, ενώ το αντικείμενό του είναι η κατασκοπεία και η υποκλοπή ευαίσθητων δεδομένων.


Ανίχνευση
Η Symantec διαθέτει τα παρακάτω εργαλεία εντοπισμού για το malware που χρησιμοποιήθηκε στις επιθέσεις:
AV
· Trojan.Turla
· Trojan.Wipbot
IPS
· System Infected: Trojan.Turla Activity
· System Infected: Trojan.Turla Activity 2