Passa al contenuto principale

Attacchi epic turla (snake o uroburos)

DEFINIZIONE DEL VIRUS

Tipo di virus: Advanced Persistent Threat (APT)

Cos'è epic turla?

Turla, noto anche come snake o uroburos è oggigiorno una delle campagne di cyber-spionaggio più sofisticate. L'ultima ricerca effettuata da Kaspersky Lab su questa operazione, rivela che Epic è la fase iniziale del meccanismo di infezione delle vittime di Turla.

Gli obiettivi di "Epic" includono le seguenti categorie: enti governativi (Ministero dell'Interno, Ministero del Commercio, Ministero degli Affari Esteri / Esterni, agenzie di intelligence), ambasciate, organizzazioni militari, di ricerca e istruzione e aziende farmaceutiche.

La maggior parte delle vittime si trova in Medio Oriente e in Europa, tuttavia vi sono vittime anche in altre regioni, compresi gli Stati Uniti. In totale, gli esperti di Kaspersky Lab hanno contato diverse centinaia di IP di vittime distribuiti in più di 45 paesi e la Francia è in cima alla lista.

Vi sono diverse categorie di questi attacchi e queste dipendono dal vettore di infezione iniziale utilizzato nel compromettere la vittima:

  • e-mail di spear-phishing con exploit Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
  • social engineering per ingannare l'utente nell'esecuzione di programmi di installazione di malware con estensione ".SCR", talvolta con RAR
  • attacchi di watering hole con exploit Java (CVE-2012-1723), exploit di Adobe Flash (sconosciuto) o exploit di Internet Explorer 6, 7, 8 (sconosciuto)
  • attacchi di watering hole che fanno affidamento sul social engineering per ingannare l'utente nell'esecuzione di falsi programmi di installazione di malware "Flash Player".

Dettagli della minaccia

Gli aggressori usano sia le e-mail dirette di spear-phishing che gli attacchi watering hole per infettare le vittime. I watering hole sono siti Web comunemente visitati da potenziali vittime. Questi siti Web sono stati precedentemente compromessi dagli aggressori e iniettati per fornire codice dannoso. A seconda dell'indirizzo IP del visitatore (ad esempio, l'IP di un'organizzazione governativa), gli aggressori offrono exploit Java o browser, software Adobe Flash Player falso o una versione contraffatta di Microsoft Security Essentials.

In totale, sono stati scoperti più di 100 siti Web. La scelta dei siti Web riflette l'interesse specifico degli aggressori. Ad esempio, molti siti Web spagnoli infetti, appartengono ai governi locali.

Una volta che l'utente viene infettato, la backdoor epic si collega immediatamente al server command-and-control (C & C) per inviare un pacchetto con tutte le informazioni di sistema della vittima. La backdoor è anche conosciuta come "WorldCupSec", "TadjMakhal", "Wipbot" o "Tadvig".

Una volta che il sistema viene compromesso, gli aggressori ricevono brevi informazioni di riepilogo dalla vittima e, in base a ciò, consegnano file batch preconfigurati contenenti una serie di comandi per l'esecuzione. Oltre a questi, gli aggressori caricano strumenti di spostamento laterale personalizzati. Questi includono uno specifico strumento keylogger, un archiviatore RAR e utility standard come uno strumento di query DNS di Microsoft.

Come sapere se si è stati infettati dall'epic turla

Il modo migliore per determinare se si è stati vittima dell'epic turla è identificare se vi è stata un'intrusione. L'identificazione delle minacce può essere eseguita con un potente prodotto antivirus come le soluzioni Kaspersky Lab.

I prodotti Kaspersky Lab rileveranno i seguenti moduli di epic turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Come proteggersi da epic turla

  • Aggiornare il sistema operativo e tutte le applicazioni di terze parti, in particolare Java, Microsoft Office e Adobe Reader
  • Non installare software da fonti non attendibili, ad esempio quando richiesto da una pagina random
  • Fare attenzione alle e-mail provenienti da fonti sconosciute che contengono allegati o collegamenti sospetti

In qualsiasi momento si dovrebbe attivare una soluzione di sicurezza, insieme a tutti i suoi componenti. La soluzione dovrebbe essere sempre aggiornata.

Altri articoli e collegamenti correlati a malware e alle minacce su Internet

Attacchi epic turla (snake o uroburos)

Qual è la minaccia del malware epic turla (snake), cosa fa e come capire se si è infetti. Scopri come proteggerti online.
Kaspersky logo