Turla (även kallad Snake och Uroburos) är en av de mest sofistikerade, fortfarande pågående, cyberspionagekampanjerna som hittills har påträffats. Det rör sig om avancerade och riktade attacker av typen APT (advanced persistent threat). När Turla först blev känt tidigare i år var det oklart hur offren infekterades. Ny forskning från Kaspersky Lab visar att cyberhotet Epic utgör det första steget i Turlas infekteringsmetod.

Måltavlor
Epic har varit verksamt sedan åtminstone 2012, med högst aktivitet i januari-februari i år. Kaspersky Lab noterade en attack mot en av sina användare så sent som 5 augusti i år.

Måltavlorna är främst statliga organisationer (inrikes- och utrikesministerier, ministerier för handelsfrågor, underrättelsetjänster), ambassader, militären, forsknings- och utbildningsorganisationer, samt läkemedelsföretag. Flest offer finns i Europa och Mellanöstern men flera offer finns även i andra regioner, bland annat i USA. Kaspersky Lab har identifierat hundratals drabbade IP-adresser i fler än 45 länder. Flest offer finns i Frankrike.

Attackerna
Kaspersky Labs experter upptäckte att angriparna bakom Epic/Turla använder nolldagssårbarheter, social ingenjörskonst och vattenhålsattacker för att infektera sina offer. Två av de nolldagssårbarheter som har utnyttjats är Escalation of Privileges (EoP) i Windows XP och Windows Server 2003 (CVE-2013-5065) som ger bakdörren hos Epic administratörsrättigheter i det angripna systemet, samt en sårbarhet i Adobe Reader (CVE-2013-3346) som används i skadliga bilagor i mejl.

Så fort en användare öppnar ett skadlig PDF-fil i ett oskyddat system infekteras datorn vilket ger angriparna omedelbar och full kontroll över systemet.

Infekteringsmetod
Kaspersky Labs forskning visar att angriparna använder ett skadligt program hos Epic för att installera en mer sofistikerad bakdörr i det infekterade systemet. Denna är känd som Cobra/Carbon, eller Pfinet som den betecknas av vissa antivirusprogram. Efter en tid används Epic igen av angriparna för att uppdatera Pfinets konfigurationsfil med en annan uppsättning kontrollservrar. Den unika kunskapen som krävs för att hantera båda bakdörrarna visar på ett tydligt samband mellan dem.

– Konfigurationsuppdateringarna för det skadliga programmet i Carbonsystemet är intressant eftersom det är ett annat projekt inom Turla. Det tyder på att vi har att göra med en infekteringsmetod i flera steg som inleds med Epic/Turla för att få ett fotfäste och bekräfta att offret är av intresse. I nästa steg sker en uppgradering till det kompletta Turla/Carbon-systemet, förklarar Costin Raiu, chef för Kaspersky Labs globala forskningsteam.

Angriparna
Angriparna bakom Turla har uppenbarligen inte engelska som modersmål (eller så vill de vilseleda andra om sitt ursprung). Det förekommer ofta stavfel i ord och uttryck, till exempel:

Password it´s wrong!
File is not exists
File is exists for edit

Flera ledtrådar pekar dock på att angriparna har ryskt ursprung. En del av de bakdörrar som används i attackerna bygger på ett system med ryskt språk. Dessutom är det interna namnet på en av Epics bakdörrar "Zagruzchik.dll", vilket betyder "ladda program" på ryska. Till sist är den övergripande kontrollpanelen för Epic inställd på kodsidan Windows-1251 som används för kyrilliska bokstäver.

Källa: SecurityWorldHotel.com