Hakerska grupa Turla skriva malver u softveru koji se koristi za izbegavanje cenzure interneta

Kaspersky

Istraživači kompanije Kaspersky su otkrili da je grupa Turla, akter pretnji sa ruskog govornog područja, preuredila svoje alatke: poznati JavaScript malver KopiLuwak sada je prerušen u novog trojanca pod nazivom Topinambour, a grupa je kreirala i dve slične verzije na drugim jezicima i svoj malver sada, između ostalog, distribuira kroz zaražene instalacione pakete za softver koji služi za izbegavanje cenzure interneta. Istraživači veruju da su ove mere kreirane kako bi se smanjila mogućnost detekcije i kako bi se precizno targetirale žrtve. Trojanac Topinambour je uočen u operaciji usmerenoj na vladine entitete početkom 2019. godine.

Grupa Turla je visokorangirani akter pretnji sa ruskog govornog područja, poznat po sajber špijunaži meta iz državnih i diplomatskih krugova. Svoju reputaciju je stekla zbog inovativnosti, kao i zbog svog poznatog malvera KopiLuwak, koji je prvi put primećen krajem 2016. godine. U 2019. godini, istraživači kompanije Kaspersky su otkrili da je ovaj akter pretnji uveo nove alate i tehnike koje služe da se malver bolje sakrije i da se umanji mogućnost detekcije.

Trojanac Topinambour (nazvan po povrću koje je takođe poznato i kao čičoka) je nova .NET datoteka koju grupa Turla koristi za distribuciju i isporučivanje svog JavaScript malvera KopiLuwak putem zaraženih instalacionih paketa legitimnih softverskih programa, kao što je VPN koji se koristi za zaobilaženje cenzure interneta.

Malver KopiLuwak je kreiran za sajber špijunažu i najnoviji proces infekcije grupe Turla uključuje tehnike koje pomažu malveru da izbegne detekciju. Na primer, infrastruktura za upravljanje i kontrolu ima IP adrese koje oponašaju obične LAN adrese. Štaviše, malver je skoro potpuno „fileless” – završna faza infekcije je šifrovani trojanac za daljinsko upravljanje, koji je ugrađen u registar računara i kome malver može pristupiti po potrebi.

Dva KopiLuwak analoga: Trojanci .NET RocketMan i PowerShell MiamiBeach su takođe kreirani za sajber špijunažu. Istraživači veruju da ove verzije ciljaju žrtve koje imaju instaliran bezbednosni softver koji može da detektuje malver KopiLuwak. Nakon uspešne instalacije, sve tri verzije mogu da:

·        Jednoznačno identifikuju žrtvu, kako bi otkrili koje vrste računara su zaražene

·        Prikupe informacije o sistemskim i mrežnim adapterima

·        Ukradu datoteke

·        Preuzmu i aktiviraju dodatan malver

·        MiamiBeach takođe može da napravi snimke ekrana

„U 2019. godini, grupa Turla se pojavila sa obnovljenim setom alata i uvela brojne nove karakteristike, najverovatnije kako bi smanjili mogućnost detekcije od strane bezbednosnih rešenja i istraživača. To uključuje smanjenje digitalnog otiska malvera i stvaranje dve različite, ali slične verzije dobro poznatog malvera, KopiLuwak. Zloupotreba instalacionih paketa za VPN softver koji služi za izbegavanje cenzure interneta sugeriše da su napadači jasno definisali mete sajber špijunaže ovih alata. Neprestana evolucija arsenala grupe Turla nas podseća koliko je bitno imati informacije o pretnjama, kao i bezbednosni softver koji može da nas zaštiti od najnovijih alata i tehnika koje koriste napredne uporne pretnje (APT). Na primer, zaštita krajnjih tačaka i provera heša datoteka nakon preuzimanja instalacionog softvera bi pomogla da se zaštitite od pretnji kao što je trojanac Topinambour“, rekao je Kurt Baumgartner (Kurt Baumgartner), glavni bezbednosni istraživač u kompaniji Kaspersky.

Kako ne biste postali žrtva sofisticiranih operacija sajber špijunaže, kompanija Kaspersky preporučuje preduzimanje sledećih mera:

·        Uvedite obuku za zaposlene koja će podizati svest o bezbednosti i objasniti kako da prepoznaju i izbegnu potencijalno zlonamerne aplikacije ili datoteke. Na primer, zaposleni ne bi trebalo da preuzimaju i pokreću aplikacije ili programe nepouzdanih ili nepoznatih izvora.

·        Za detekciju krajnjeg nivoa, istraživanje i pravovremeno otklanjanje incidenata, uvedite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.

·        Kao dodatak usvajanju neophodne zaštite krajnjih tačaka, uvedite korporativno bezbednosno rešenje koje prepoznaje napredne pretnje na nivou mreže u ranim stadijumima, kao što je Kaspersky Anti Targeted Attack Platform.

·        Obezbedite vašem SOC timu pristup najnovijim informacijama o pretnjama (Threat Intelligence), kako biste bili u toku sa novim i nadolazećim alatima, tehnikama i taktikama koje akteri pretnji i sajber kriminalci koriste.