Rohadt egy dög a Turla, más néven Snake vagy Uroburos

virusxA Turla, más néven Snake vagy Uroburos az egyik legfejlettebb jelenleg is folyó kiberkémkedési kampány. Amikor az első kutatási eredményeket publikálták róla, még nem volt világos, hogy az áldozatok miképpen fertőződnek meg. A Kaspersky Lab legújabb kutatása rávilágít arra, hogy az Epic az első fázisa a Turla áldozatokat megfertőző mechanizmusának. Az Epic projekt már 2012 óta fut, legnagyobb aktivitása 2014 januárjában-februárjában volt megfigyelhető. Az Epic célpontjai a következő kategóriákba sorolhatók: kormányzati szervezetek (belügyminisztériumok, gazdasági és kereskedelmi minisztériumok, külügyminisztériumok, hírszerző hivatalok), nagykövetségek, katonaság, kutatási és oktatási intézmények, valamint gyógyszeripari vállalatok.

Az Epic Turla üzemeltetői nulladik napi sérülékenységek kihasználásával, pszichológiai manipulációval és watering hole technikákkal –vagyis az áldozatokat érdeklő weboldalak feltörésével és azokon rosszindulatú kód elhelyezésével– fertőzték meg áldozataikat. Valahányszor egy gyanútlan felhasználó megnyit egy rosszindulatúan módosított PDF fájlt egy sebezhető rendszeren, a számítógép automatikusan megfertőződik, lehetővé téve a támadó számára, hogy azonnali és teljes ellenőrzést szerezzen a célba vett rendszer felett. Miután a felhasználó megfertőződött, az Epic backdoor (hátsó ajtó) azonnal kapcsolatba lép a parancs és vezérlő (C&C) szerverrel, és elküld egy csomagot az áldozat gépére vonatkozó rendszerinformációkkal. Ennek alapján a támadók egy előre konfigurált parancsfájlt küldenek vissza, amely végrehajtandó utasításokat tartalmaz. (És biztosak lehetünk abban, hogy nem a rák gyógyszerének kutatására fogják használni a gépet! A -szerk- megj.)

A legtöbb áldozat a Közel-Keleten és Európában található, de a kutatók számos célpontot azonosítottak más régiókban is, többek között az Egyesült Államokban. A Kaspersky szakértői több száz áldozat IP címét találták meg több mint 45 országban, a listavezető Franciaország.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.