Odborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turla

9. října 2018 – Odborníci z Kaspersky Lab objevili spojitost mezi dvěma ruskojazyčnými hackerskými skupinami Turla (známé také jako Snake nebo Uroburos) a Sofacy (uváděné také jako Fancy Bear a APT28). Na základě dlouhodobého monitoringu jejich aktivit si v nejnovější verzi malwaru KopiLuwak, vyvinutého skupinou Turla, všimli řady podobností s kódem použitým před měsícem skupinou Sofacy v jejich kampani Zebrocy. Podobné části kódu sloužily k šíření zákeřných aktivit. Odborníci si také všimli nápadně se shodujících cílů hackerů – jejich oběti z řad vládních a armádních subjektů pocházejí převážně ze střední Asie.

Svá zjištění minulý čtvrtek zveřejnili odborníci z týmu Kaspersky Lab GReAT v souhrnné zprávě, která se věnuje aktivitám kyberzločinné skupiny Turla.

KopiLuwak (název odkazuje ke vzácnému druhu kávy) byl poprvé objeven v listopadu 2016. Jednalo se o dokumenty, které obsahovaly malware a povolená makra umožňující spuštění nového škodlivého Javascriptového kódu, který byl zamaskovaný a určený pro systémovou nebo síťovou špionáž. Novou variantu malwaru KopiLuwak zaznamenali odborníci v polovině tohoto roku, kdy se objevily nové oběti v Sýrii a Afghánistánu. Hackeři ze skupiny Turla tentokrát použili novou spear-phishingovou metodu šíření malwaru využívající Windowsové složky s koncovkou .LNK. Bezpečnostní analýza odhalila, že soubory .LNK obsahovaly PowerShell, který měl dekódovat a iniciovat zhoubný obsah malwaru KopiLuwak. Právě tento PowerShall byl téměř identický s tím, který byl o měsíc dříve použit v kampani Zebrocy.

Analytici dále zjistili, že se obě skupiny zajímají o podobné cíle. Mezi ně patří význační političtí činitelé, včetně vládních výzkumných a bezpečnostních subjektů, diplomatické mise nebo vojenské aktivity soustředěné ve střední Asii.

Ve své zprávě odborníci poskytují bližší informace o praktikách skupiny Turla, které podporují jejich hypotézu, že hackeři využili Wi-Fi sítě k šíření svého malwaru Mosquito. Dále objevili nové verze vyspělé kyberšpionážní sítě Carbon, které hackeři obvykle aplikovali pouze na vybrané cíle, o něž měli obzvláštní zájem. Na základě svých analýz předpokládají, že hackeři budou tento nástroj i nadále přetvářet a využívat i v roce 2019. V tomto roce kyberzločinci ze skupiny Turla útočili na cíle na Blízkém Východě, v severní Africe, západní i východní Evropě, střední a jižní Asii i v Americe.

„Turla je jedna z nejstarších, nejpokročilejších a velmi nebezpečných hackerských skupin. Naše analýza ukazuje, že se snaží neustále vyvíjet a vylepšovat své metody a nástroje. Snaží se ve vší tichosti útočit na cíle převážně na východě. Proto by se před touto ruskojazyčnou skupinou měly mít na pozoru především společnosti z této části světa,“ říká Kurt Baumgartner, člen kyberbezpečnostního týmu GReAT společnosti Kaspersky Lab.

Aby se firmy nestaly obětí cílených hackerských útoků, měly by se řídit následujícími doporučeními:

  • Používat účinná firemní bezpečnostní řešení, která zahrnují technologie chránicí před cílenými útoky. Například řešení Kaspersky Threat Management and Defense využívá technologie analyzující síťové anomálie, které v síti zaznamenají a zastaví cílené útoky. Bezpečnostním týmům také poskytuje plnou viditelnost síťových komponent napříč celou infrastrukturou a umožňuje automatickou reakci na napadení.
  • Firemním IT bezpečnostním odborníkům zajistěte přístup k nejnovějším informacím o vývoji kybernetických hrozeb. I nástroje jako jsou indikátory napadení (IOC), detekční pravidla YARA nebo zprávy o aktuálních hrozbách zlepší ochranu podniku před aktivitami hackerů.
  • Ujistěte se, že jsou dobře nastavené celofiremní procesy aktualizací systémů a softwarů.
  • Pokud zaznamenáte indikátory cíleného útoku, zvažte pomoc třetí strany, která vám umožní proaktivně detekovat pokročilé hrozby a zkrátí dobu nutnou na reakci.

Detailnější informace o aktivitách hackerské skupiny Turla se dozvíte na blogu Securelist.com.

O společnosti Kaspersky Lab

Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností již více než 20 let. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.