#CyberFiles Turla, gruparea care a profitat de bresele existente la conexiunile prin satelit

Spionajul cibernetic reprezinta o alta extensie a intregului segment dezvoltat de catre hackeri, iar sintagma "Scopul scuza mijloacele" se pare ca devine, din ce in ce mai mult, sloganul acestora.

Astazi, vom face cunostinta cu Satellite Turla, un intrus care a tintit foarte sus, la propriu, prin accesarea adreselor de Internet cu conexiune prin satelit. Cu ajutorul acestei metode, atacatorii din spatele Turla au reusit sa produca pagube in peste 45 de tari, inclusiv in Romania.

Nume de cod "IP cu conexiune prin satelit"

Din investigatiile specialistilor de la Kaspersky, derulate pe o perioada de cativa ani, a rezultat faptul ca Satellite Turla avea in spate un grup APT (Advanced Persistent Threat - dezvoltatori de amenintari persistente avansate, n.r.). Satellite Turla este cunoscut sub mai multe identitati: Snake, Uroboros, WhiteBear, Venomous Bear si Kypton.

Rezultatele unei cercetari referitoare la Turla au fost publicate in anul 2014, moment in care grupul de spionaj cibernetic era activ de cel putin opt ani, sustin expertii. Concluzia raportului a fost aceea ca acest grup este vorbitor de limba rusa si se evidentiaza prin mecanismul avansat de comanda si control prin satelit, implementat in etapele finale ale atacului.

"Serverele de comanda si control sunt vizate intotdeauna de catre cercetatorii in securitate cibernetica si de catre autoritati, pentru ca de acolo sunt controlate toate operatiunile, iar oprirea lor poate sa afecteze functionarea campaniei sau chiar sa o opreasca. In plus, serverele C&C (Command & Control, n.r.) pot fi folosite pentru a afla indicii despre localizarea fizica a atacatorilor. Una dintre cele mai simple variante de conexiune la Internet prin satelit are o problema: tot traficul care merge dinspre satelit inspre PC este necriptat, deci poate fi usor interceptat. Grupul Turla a folosit aceasta problema in favoarea lor, ascunzandu-si traficul C&C", a fost concluzia specialistilor.

Concret, infractorii cibernetici cautau IP-urile de Internet cu conexiune prin satelit care erau online si alegeau unul pentru a-si ascunde serverul C&C. In acest mod, dispozitivele infectate de Turla primeau instructiunea sa trimita toate datele la IP-urile selectate.

Backdoor-ul operat de Turla (denumit LightNeuron), investigat si de catre cercetatorii de la Eset, era directionat asupra serverelor de e-mail Microsoft Exchange si putea fi controlat prin intermediul documentelor din atasament, utilizand steganografia pentru ascunderea comenzilor, noteaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO), care citeaza portalul WeLiveSecurity apartinand companiei Eset.

"LightNeuron functioneaza la acelasi nivel de incredere ca si aplicatiile de securitate, cum ar fi filtrele de spam, permitand, astfel, citirea si modificarea tuturor e-mailurilor care trec prin serverul de email Microsoft Exchange compromis. De asemenea, malware-ul poate compune si trimite e-mail-uri si poate bloca e-mail-uri trimise de catre utilizator", avertizau specialistii.

In vara anului 2017, un raport realizat de catre cei de la Kaspersky dezvaluia faptul ca Romania a intrat in topul primelor zece tari cu cele mai multe servere de comanda si control (C&C) pentru atacuri informatice de tip Distributed Denial of Service (DDoS), ocupand atunci locul 6, dupa Coreea de Sud, SUA, Olanda, Japonia, Ucraina si Bulgaria. Atacul de tip DDoS reprezinta cea mai intalnita forma de infractiune cibernetica, avand ca tinta website-uri importante si mai rar computerele personale.

Rezultatele unei alte cercetari efectuata de Kaspersky, privind campania derulata de Grupul Turla, sunt confirmate in 2014 de catre oficialii CERT-RO. Astfel, datele indicau faptul ca Romania era tara cu cele mai multe site-uri infectate (6), care sustineau atacurile respective in acel moment, aflandu-se in acest fel pe primul loc in lume din perspectiva apetitului atacatorilor pentru noi victime.

Gruparea Turla si operatiunea "Epic"

Expertii in domeniu avertizau, in iulie 2014, ca Turla, Snake sau Uroboros reprezinta una dintre cele mai sofisticate campanii de spionaj cibernetic active la acel moment.

Analizele celor de la Kaspersky asupra operatiunii denumite atunci "Epic" sau "Epiccosplay" au scos la iveala faptul ca acest ultim proiect reprezenta o parte esentiala a mecanismului de infectare a victimelor. Tehnicile de operare ale celor doua grupari (Epic si Turla) indicau ca intre acestea exista o relatie de cooperare sau chiar ca sunt una si aceeasi grupare.

Datele centralizate la acea vreme aratau ca victimele proiectului 'Epic' apartineau unor categorii, precum: organizatii guvernamentale (ministere al Afacerilor Interne, ministere al Economiei si Comertului, ministere ale Afacerilor Externe, servicii de informatii si securitate), ambasade, armata, organizatii din domeniul Cercetarii si al Educatiei, companii farmaceutice.

Analistii Kaspersky au descoperit ca atacatorii Epic Turla foloseau in atacurile de tip "watering hole" atat exploit-uri de tip "Zero-day", cat si strategii de social engineering pentru a infecta tintele. 'Watering holes' sunt site-uri de mare interes pentru victime, ce au fost compromise in prealabil de catre atacatori si au fost programate sa injecteze coduri periculoase (exploit-uri) atunci cand sunt vizitate de posibile tinte. In functie de diversi parametri si de adresa de IP (inclusiv din registrul guvernamental), aceste site-uri ii servesc vizitatorului exploit-uri Java sau IE, dar si aplicatii false Adobe Flash Player sau Microsoft Security Essentials.

"Dupa compromiterea sistemului, atacatorii primesc informatii succinte despre tinta si, pe baza acestora, livreaza pachete de fisiere pre-configurate, care contin o serie de comenzi ce trebuie executate in sistem. In plus, atacatorii incarca instrumente speciale, pentru a obtine acces si la alte sisteme in reteaua victimei. Printre acestea se numara un keylogger dedicat, arhivatorul RAR si alte utilitare standard, cum ar fi utilitarul DNS Query de la Microsoft", explicau expertii, in raportul publicat in urma cu cinci ani.

Si jocul continua...

Lucrurile nu s-au oprit insa aici, fiind remarcate legaturi intre operatiunile Turla si alte manevre de spionaj cibernetic. La inceputul anului 2014, cei de la Kaspersky au observat ca operatorii Miniduke foloseau aceleasi adrese de internet de tip "web-shell" pe serverele infectate ca si echipa Epic. In acest fel, o legatura a operatiunii Epic cu Turla si Miniduke sugera, totodata, posibili autori vorbitori de limba rusa, dat fiind faptul ca, de exemplu, panoul de comanda si control al Epic seta pagina de cod 1251, care este folosita pentru caracterele chirilice.

Pe durata atacurilor repetate si extrem de sofisticate, derulate de-a lungul anilor, incepand din 2004, Grupul Turla a folosit furnizori de Internet localizati in tari din Orientul Mijlociu si Africa, precum: Liban, Congo, Libia, Nigeria. De ce acolo? Raspunsul expertilor este ca satelitii utilizati in aceste tari nu acopera, de regula, Europa sau America de Nord, ceea ce face ca atacurile sa fie dificil de investigat de catre majoritatea cercetatorilor.

Victimele Turla au fost localizate in peste 45 de tari, printre care SUA, Rusia, Kazahstan, China sau Vietnam, dar si Romania, iar tintele vizate reprezentau institutii guvernamentale, militare, din domeniul educatiei si ambasade, dar si companii farmaceutice si de cercetare.

Conform datelor oficiale, in Romania au fost identificate 15 victime, printre care doua ministere, doua institutii guvernamentale, companii private, precum si utilizatori de Internet rezidential sau mobil.

Povestea atacurilor Grupului Turla se pare ca nu are un final, intrucat nu mai devreme de luna iulie a acestui an, expertii Kaspersky au descoperit o noua campanie de malware derulata de catre acesti hackeri. Operatiunea a fost botezata 'Topinambour'. In varianta actualizata, malware-ul este capabil sa descarce si sa execute fisiere malitioase pe sistemele compromise, iar, in mod identic cu campaniile anterioare, atacurile sunt indreptate catre organizatii guvernamentale.

Pe acest subiect, CERT-RO arata, intr-o informare, ca pentru a se raspandi, virusul se foloseste de kit-uri de instalare ale aplicatiilor cunoscute, ca Softether VPN, psiphon3 sau activatoare Microsoft Office.

Precum un artist care doreste sa ramana in permanenta in atentia publicului si sa cucereasca an de an topurile de specialitate, si inamicii cibernetici sunt consecventi si se reinventeaza. La fel se intampla si in cazul Turla, care, prin mijloace mai mult sau mai putin conventionale, a reusit sa creeze un set de instrumente capabile sa produca brese de securitate importante pentru a obtine avantaje strategice.

In acest fel, cu fiecare an, spatiul virtual devine un teren minat din care scapa cine... este mai abil.