Kaspersky Lab: Şase site-uri din România afectate de atacul Epic Turla

Pe primul loc la număr de victime se situează Franţa, România aflându-se pe locul şapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul României, se numără două ministere, două alte instituţii guvernamentale, companii private, precum şi utilizatori de Internet rezidenţial sau mobil, mai precizează comunicatul.

Turla, Snake sau Uroburos reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active în prezent. În martie 2014, atunci când au fost publicate primele analize, era încă neclar cum anume erau infectate ţintele. Cele mai recente investigaţii ale Kaspersky Lab asupra noii operaţiuni denumite Epic sau Epiccosplay, au scos la iveala faptul că acest ultim proiect reprezintă o parte esenţială a mecanismului de infectare a victimelor.

Tehnicile de operare ale celor două grupări (Epic şi Turla), indică faptul că între ele există o relaţie de cooperare sau chiar că sunt una şi aceeaşi grupare.
Proiectul ‘Epic’ a fost utilizat în atacuri cibernetice începând cu 2012, şi culminând în perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.

Victimele proiectului ‘Epic’ aparţin următoarelor categorii: organizaţii guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei şi Comerţului, Ministere ale Afacerilor Externe, servicii de informaţii şi securitate), ambasade, armată, organizaţii din domeniul cercetării şi al educaţiei, companii farmaceutice.

O mare parte dintre victime sunt localizate în Orientul Mijlociu şi în Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. În total, experţii Kaspersky Lab au identificat câteva sute de adrese IP afectate la nivel global, distribuite în peste 45 de ţări.

Analiştii Kaspersky Lab au descoperit că atacatorii Epic Turla folosesc în atacurile de tip watering hole atât exploit-uri de tip zero-day, cât şi strategii de social engineering pentru a infecta ţintele.
În trecut, aceştia au folosit cel puţin două tipuri de exploit-uri zero-day: unul pentru Windows XP şi 2003 (CVE-2013-5065), exploit care permitea atacatorilor Epic să obţină drepturi de administrator asupra sistemului şi să funcţioneze fără nicio restricţie; şi un al doilea exploit în Adobe Reader (CVE-2013-3346) inclus în ataşamentele trimise victimelor.

În momentul în care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluând imediat controlul asupra sistemului.

‘De remarcat este faptul că ar putea exista conexiuni şi cu alte operaţiuni de spionaj cibernetic: în februarie 2014, experţii Kaspersky Lab au observat că operatorii Miniduke foloseau aceleaşi web-shell-uri pe serverele infectate ca şi echipa Epic. O legătura a operaţiunii Epic cu Turla şi Miniduke sugerează, de asemenea, posibili autori vorbitori de limba rusă. Unul dintre backdoor-urile Epic are numele intern ‘Zagruzchik.dll’, care înseamnă ‘bootloader’ sau ‘program de încărcare’ în limba rusă. Nu în ultimul rând, panoul de comandă şi control al Epic setează pagina de cod 1251, care este folosită pentru caracterele chirilice’, se mai spune în comunicatul Kaspersky Lab.

Kaspersky Lab este cel mai mare producător privat de soluţii de securitate endpoint din lume, fiind inclus în topul primilor patru producători de soluţii pentru protecţie endpoint la nivel mondial.

Purtătorul de cuvânt al Serviciului Român de Informaţii, Sorin Sava, a declarat joi, pentru AGERPRES, că instituţii publice din România sunt ţinta unui atac cibernetic de anvergură.

‘E vorba de un atac cibernetic de anvergură la adresa unor instituţii din România. Pentru noi nu este o chestiune nouă, noi încă de la începutul anului 2014 avem în vedere aceste entităţi agresoare’, a afirmat Sava.

SRI, în calitate de autoritate naţională în domeniul cyber inteligence, derulează o investigaţie în acest caz.