Internet

Vlade i diplomate na meti alatke za špijuniranje

Kampanja sajber-špijunaže koja uključuje zlonamerni softver (malware) poznat kao Wipbot i Turla sistematski ima za metu vlade i ambasade brojnih zemalja bivšeg Istočnog bloka.

  • Trojan.Wipbot (poznat drugde i kao Tavdig) je “back door” trojanac koji se koristi da olakša radnje izviđanja pre nego što napadači pređu na dugoročne operacije nadziranja koristeći
  • Trojan.Turla (drugde poznat pod nazivima Uroboros, Snake i Carbon).

Čini se da je ova kombinacija malvera bila najmanje četiri godine korišćena za klasičan tip operacija špijunaže.

Sudeći po vrsti meta koje su birane i naprednoj prirodi malvera koji je korišćen, Symantec veruje da iza ovih napada stoji grupa sponzorisana od strane države.

Turla malver pruža napadačima napredne mogućnosti špijunaže. Konfigurisan tako da se pokrene svaki put kada se uključi računar,  u trenutku pokretanja pretraživača, on otvara zadnja vrata (“back door”) što omogućava komunikaciju sa napadačima.

Kroz ova vrata napadači pored ostalog mogu da kopiraju fajlove sa zaraženog računara, da se povežu na servere, brišu fajlove i učitaju i izvrše druge oblike malvera.

 

Grupa koja stoji iza Turle ima strategiju napada iz dva pravca, koja uključuje inficiranje žrtava putem e-mail poruka koje deluju kao harpun, i “watering hole” napada. Watering hole napadi pokazuju odgovarajuće mogućnosti za ugrožavanje, pri čemu napadači kompromituju niz inače legitimnih veb-sajtova i malver isporučuju samo žrtvama koje tim sajtovima pristupaju sa određenih, prethodno odabranih IP adresa.

 

Ovi kompromitovani veb-sajtovi isporučuju Trojan.Wipbot. Veoma je verovatno da se Wipbot  onda koristi za preuzimanje Turla malvera, koji se potom isporučuje žrtvi.

Žrtve

Dok se na početku činilo da se infekcije šire preko niza evropskih zemalja, detaljnije analize otkrile su da su se mnoge infekcije u Zapadnoj Evropi pojavile na računarima koji su bili povezani na privatne vladine mreže zemalja bivšeg Istočnog bloka. Ove infekcije izašle su na videlo u ambasadama tih zemalja.

 

Analize infekcija otkrile su da su se napadači ozbiljno usmerili na mali broj zemalja. Na primer, u maju 2012. bila je inficirana kancelarija predsednika vlade zemlje bivše članice Sovjetskog saveza.

Ova infekcija se brzo proširila, tako da je do 60 računara u kancelariji predsednika vlade bilo kompromitovano.

 

Još jedan napad dogodio se kada je inficiran računar u ambasadi u Francuskoj jedne druge zemlje bivše članice Sovjetskog Saveza, krajem 2012. Tokom 2013. godine infekcije su počele da se šire na druge računare povezane na mrežu ministarstva spoljnih poslova ove zemlje. Dodatno, bilo je inficirano i ministarstvo unutrašnjih poslova. Dalja istraga otkrila je sistematsku kampanju špijuniranja koja je imala za cilj diplomatsku mrežu iste zemlje. Infekcije su otkrivene u ambasadama u Belgiji, Ukrajini, Kini, Jordanu, Grčkoj, Kazahstanu, Jermeniji, Poljskoj i Nemačkoj.

 

Još najmanje pet drugih zemalja u regionu bile su na meti sličnih napada. Iako su se napadači u velikoj većini slučajeva usmerili na bivši Istočni blok, pronađene su i brojne druge mete. Ovo uključuje ministarstvo zdravlja jedne zapadnoevropske zemlje, ministarstvo obrazovanja zemlje Centralne Amerike, državnu instituciju za električnu energiju na Bliskom istoku i medicinsku organizaciju u Sjedinjenim Američkim Državama.

 

 

Vektori napada

Grupa koja stoji iza trojanca Turla koristi e-mail poruke kao harpun i „watering hole“ napade kako bi inficirala žrtve. Neke od ovih e-mail poruka činile su se primaocima kao da dolaze od vojnog atašea u ambasadi bliskoistočne zemlje i imale su prilog koji je bio maskiran u beleške sa sastanaka. Otvaranje priloga rezultiralo je u tome da trojanac Trojan.Wipbot biva prebačen na računar žrtve napada. Veruje se da Wipbot predstavlja mehanizam za isporuku trojanca Turla, budući da imaju nekoliko sličnosti u kodu i strukturi.

 

 

Slika 1. E-mail poruke tipa harpun namenjene krađi podataka i watering hole napadi koriste se da bi žrtve bile inficirane trojancem Wipbot, koji onda može da se koristi da bi se instalirao trojanac Turla.

 

Od septembra 2012, grupa je kompromitovala barem 84 legitimna veb- sajta kako bi omogućila watering hole napade. Među onima koje su napadači kompromitovali, nalazili su se i brojni sajtovi raznih vlada i međunarodnih agencija.

Posetioci ovih sajtova su bivali preusmereni na veb servere na kojima se izvršavala programska rutina „otiska prsta“. Ta programska naredba je sakupljala određene informacije o računaru posetioca. Ova faza kampanje je po svemu sudeći predstavljala mrežu za sakupljanje obaveštajnih podataka, prikupljanje informacija o tome koje pretraživače i dodatke koriste posetioci veb sajtova, a što bi pomoglo da se odredi šta bi najbolje moglo da se iskoristi protiv njih.

 

Sledeća faza operacije je bila visoko ciljana, sa serverima koji su onda bili konfigurisani da isporuče Wipbot samo na IP adrese sa nameravanim ciljevima. Malver je bio maskiran u Shockwave paket za instalaciju. Wipbot je potom bio korišćen da se prikupe informacije o inficiranom računaru. Ako su napadači procenili da je žrtva od interesa, drugi backdoor trojanac sa većim mogućnostima, Turla, je bio preuzet na računar žrtve napada. Izgleda da Wipbot deluje kao sredstvo za izviđanje, dok se Turla koristi da bi se održalo dugoročno prisustvo na računaru žrtve.

Turla

Symantec prati aktivnosti grupe koja stoji iza Turle već godinama. Identitet napadača tek treba da bude ustanovljen, iako vremenski otisci aktivnosti u vezi sa napadima ukazuju da se najveći broj aktivnosti realizuje tokom standardnog radnog vremena u vremenskoj zoni GMT plus 4 časa.

 

Turla predstavlja evoluciju starijeg malvera, Trojan.Minit, koji je bio u upotrebi od 2004.
Sadašnja kampanja je proizvod rada tehnički kompetentne grupe napadača koja raspolaže dobrim resursima i koja je sposobna da prodre kroz mnoge odbrane mreža. Usmerena je na ciljeve koji bi bili od interesa za državu, a među ciljevima su i špijuniranje i krađa osetljivih podataka.

Leave a Reply