Kiberspiegošanas grupējumam Turla konstatēti jauni rīki

31. jūlijs 2019
Kaspersky pētnieki atklājuši, ka krievvalodīgais kiberuzbrucēju grupējums Turla ir pārveidojis savu rīku komplektu, apgādājot viņu slaveno JavaScript ļaunprogrammu KopiLuwak ar jaunu komponenti, sauktu par Topinambour, izveidojot divas analoģiskas versijas citās valodās un izplatot ļaunprogrammatūru, citastarp, ar inficētām interneta cenzūras apiešanai paredzētas programmatūras instalācijas paketēm. Pētnieki uzskata, ka šāds paņēmiens paredzēts atklāšanas iespēju mazināšanai un precīzai upuru izvēlei. Topinambour tika pamanīts pret valdības iestādēm vērstā operācijā 2019. gada sākumā.

Turla ir augsti profesionāls krivvalodīgs kiberuzbrucēju grupējums, kura zināmajā interešu lokā ietilpst ar diplomātisko darbību un valdībām saistīti mērķi. Grupa tiek uzskatīta par visai inovatīvu; tā kļuvusi slavena ar savu ļaunprogrammatūru KopiLuwak, kas pirmo reizi tika manīta 2016. gada beigās. 2019. gadā Kaspersky pētnieki atklāja jaunus instrumentus un paņēmienus, kurus ieviesis šis kiberdraudu autors, ar nolūku labāk slēpt pēdas un samazināt atklāšanas iespējas.

Topinambour ir jauna .NET datne, kuru Turla izmanto, lai izplatītu un ievietotu datorsistēmās savu JavaScript KopiLuwak ar inficētu leģitīmu programmatūras instalācijas pakešu, piemēram, VPN palīdzību.

KopiLuwak ir izstrādāta kiberspiegošanai un Turla pēdējā inficēšanas kampaņā iekļauti paņēmieni, kuri aizkavē ļaunprogrammatūras atklāšanu. Piemēram, vadības un kontroles infrastruktūrai ir IP adrese, kas šķietami imitē tipveida LAN adresi. Bez tam ļaunprogrammatūra operē gandrīz pavisam "bez datnēm" (fileless) – inficēšanas pēdējais elements, šifrēts Trojas zirgs attālinātai administrēšanai, tiek ievietots datora reģistrā, kur gatavā ļaunprogrammatūra var tam piekļūt.

Divi KopiLuwak analogi: .NET RocketMan Trojas zirgs un PowerShell MiamiBeach Trojas zirgs arī izstrādāti kiberspiegošanas vajadzībām.  Pētnieki uzskata, ka šīs versijas tiek pielietotas pret mērķiem, kuros instalēta drošības programmatūra, kas spēj detektēt KopiLuwak. Pēc sekmīgas instalēšanas visas trīs versijas spēj:
  • analizēt mērķus, lai saprastu, kāda tipa dators ticis inficēts;
  • apkopot informāciju par sistēmu un tīkla kartēm;
  • zagt datnes;
  • lejupielādēt un iedarbināt papildus ļaunprogrammatūru;
  • MiamiBeach spēj uzņemt arī ekrānšāviņus.
"2019. gadā Turla atkal parādījās ar pārveidotu rīku komplektu, kurā ir vairāki jaunievedumi, iespējams, drošības risinājumu un pētnieku veiktās detektēšanas apgrūtināšanai. Jaunievedumi ietver ļaunprogrammatūras digitālo pēdu minimizēšanu un divu dažādu, bet būtībā vienādu KopiLuwak versiju izveidi. Interneta cenzūras apiešanai paredzētas VPN programmatūras ļaunprātīga izmantošana liecina, ka uzbrucēji paredzējuši šos rīkus izmantot kiberspiegošanas mērķiem. Turla arsenāla nemitīgā pilnveidošana lieku reizi atgādina par nepieciešamību attīstīt draudu izlūkošanu un ieviest drošības programmatūru, kura spēj aizsargāt no jaunākajiem instrumentiem un paņēmieniem, kurus izmanto APT.  Piemēram, galiekārtu aizsardzība un datņu kontrolsummu pārbaude pēc instalācijas paketes lejupielādes palīdzēs aizsargāties pret Topinambour līdzīgiem draudiem," stāsta Kurts Baumgārtners (Kurt Baumgartner), vadošais Kaspersky drošības pētnieks.



Kaspersky eksperti ir publicējuši vairākus ziņojumus par krievvalodīgā kiberuzbrucēju grupējuma Turla jauniem rīkiem, paņēmieniem un spiegošanas operācijām, kuru mērķu uzskaitījumā pavīd arī Latvija.

Lai mazinātu iespēju kļūt par izsmalcinātu kiberspiegošanas operāciju upuri, Kaspersky iesaka spert sekojošus soļus.
  • Ieviesiet kiberdrošības apmācību darbiniekiem un izskaidrojiet, kā atpazīt un izvairīties no potenciāli ļaunprātīgām lietotnēm un datnēm. Darbiniekiem nevajadzētu lejupielādēt un instalēt programmatūru no neuzticamiem vai nezināmiem avotiem.
  • Detektēšanai galiekārtu līmenī, savlaicīgai incidentu izpētei un novēršanai izmantojiet EDR risinājumus, piemēram, Kaspersky Endpoint Detection and Response.
  • Papildus obligātajai adaptīvajai galiekārtu aizsardzībai uzstādiet korporatīvās klases drošības risinājumus, kuri spēj atklāt sarežģītus apdraudējumus jau tīkla līmenī to agrīnas darbības stadijā, piemēram, Kaspersky Anti Targeted Attack Platform.
  • Nodrošiniet savai SOC komandai piekļuvi jaunākajiem apdraudējumu izlūkošanas datiem (Threat Intelligence), lai viņi būtu lietas kursā par jauniem un moderniem rīkiem, paņēmieniem un taktiku, ko izmanto ļaunprogrammatūras autori.