Szkodliwe oprogramowanie Turla coraz lepsze

Przeczytaj także: Trojan bankowy Riltok atakują na skalę międzynarodową

O działalności Turla bywało już głośno. To rosyjskojęzyczne ugrupowanie zasłynęło m.in. z serii ataków cyberszpiegowskich wymierzonych w podmioty rządowe i dyplomatyczne. Znane jest ze stosowania innowacyjnych metod oraz rozprzestrzeniania złośliwego programu KopiLuwak, wykrytego po raz pierwszy u schyłku 2016 roku. W tym roku badacze Kaspersky dostrzegli, że Turla udoskonaliła swoje narzędzia i metody działania, a wszystko to najprawdopodobniej po to, aby zminimalizować szanse na jej wykrycie.

Z ustaleń badaczy Kaspersky wynika, że Turla wykorzystuje obecnie nowy .NET o nazwie Topinambour (od nazwy warzywa topinambur). Ma to na celu rozprzestrzenianie złośliwego oprogramowania JavaScript KopiLuwak za pośrednictwem zainfekowanych pakietów instalacyjnych legalnych programów – takich jak VPN – służących do obejścia cenzury internetowej.

KopiLuwak został stworzony do celów cyberszpiegostwa, a najnowszy proces infekcji gangu Turla obejmuje techniki, które pomagają szkodnikowi uniknąć wykrycia. Na przykład infrastruktura sterowania i kontroli posiada adresy IP, które przypominają zwykłe adresy LAN. Ponadto szkodnik jest niemal całkowicie bezplikowy – na ostatnim etapie infekcji zaszyfrowany trojan służący do zapewnienia zdalnej administracji zostaje osadzony w rejestrze komputera, aby w odpowiednim czasie umożliwić dostęp do urządzenia szkodliwemu oprogramowaniu.

Dwa odpowiedniki KopiLuwaka: trojany .NET RocketMan oraz PowerShell MiamiBeach również mają na celu cyberszpiegostwo. Badacze uważają, że wersje te są stosowane w odniesieniu do atakowanych urządzeń, na których zainstalowane jest szkodliwe oprogramowanie zabezpieczające potrafiące wykrywać szkodnika KopiLuwak. W przypadku zakończonej sukcesem instalacji wszystkie trzy wersje potrafią:

• badać cele, aby dowiedzieć się, jakiego typu komputer został zainfekowany,
• gromadzić informacje dostępne w systemie oraz kartach sieciowych,
• kraść pliki,
• pobierać i wykonywać dodatkowe szkodliwe oprogramowanie,
• MiamiBeach potrafi dodatkowo wykonywać zrzuty ekranu.

W 2019 r. cyberugrupowanie Turla udoskonaliło swój zestaw narzędzi, wprowadzając wiele nowych funkcji, prawdopodobnie w celu zminimalizowania szans na wykrycie go przez rozwiązania zabezpieczające oraz badaczy. Obejmują one zmniejszenie cyfrowego śladu szkodliwego oprogramowania oraz stworzenie dwóch różnych ale podobnych wersji znanego szkodnika o nazwie KopiLuwak. Wykorzystanie pakietów instalacyjnych oprogramowania VPN, które potrafi obejść cenzurę internetową, sugeruje, że atakujący stosują te narzędzia w celu szpiegowania ściśle określonych celów. Ciągła ewolucja arsenału cyberugrupowania Turla przypomina o potrzebie stosowania analizy zagrożeń oraz oprogramowania zabezpieczającego, które potrafi chronić przed najnowszymi narzędziami i technikami stosowanymi przez ugrupowania APT. Na przykład ochrona punktów końcowych oraz sprawdzanie skrótów plików po pobraniu oprogramowania instalacyjnego mogłyby pomóc zabezpieczyć użytkowników przed takimi zagrożeniami jak Topinambour – powiedział Kurt Baumgartner, główny badacz ds. cyberbezpieczeństwa w firmie Kaspersky.