Kaspersky Lab: Șase site-uri din România afectate de atacul Epic Turla
România este țara cu cele mai multe site-uri infectate (șase) care susțin atacul Epic Turla în acest moment, aflându-se astfel pe primul loc în lume din perspectiva apetitului atacatorilor pentru noi victime, conform unui comunicat al Kaspersky Lab.
Pe primul loc la număr de victime se situează Franța, România aflându-se pe locul șapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul României, se numără două ministere, două alte instituții guvernamentale, companii private, precum și utilizatori de Internet rezidențial sau mobil, mai precizează comunicatul.
Turla, Snake sau Uroburos reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active în prezent. În martie 2014, atunci când au fost publicate primele analize, era încă neclar cum anume erau infectate țintele. Cele mai recente investigații ale Kaspersky Lab asupra noii operațiuni denumite Epic sau Epiccosplay, au scos la iveala faptul că acest ultim proiect reprezintă o parte esențială a mecanismului de infectare a victimelor.
Tehnicile de operare ale celor două grupări (Epic și Turla), indică faptul că între ele există o relație de cooperare sau chiar că sunt una și aceeași grupare.
Proiectul 'Epic' a fost utilizat în atacuri cibernetice începând cu 2012, și culminând în perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.
Victimele proiectului 'Epic' aparțin următoarelor categorii: organizații guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei și Comerțului, Ministere ale Afacerilor Externe, servicii de informații și securitate), ambasade, armată, organizații din domeniul cercetării și al educației, companii farmaceutice.
O mare parte dintre victime sunt localizate în Orientul Mijlociu și în Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. În total, experții Kaspersky Lab au identificat câteva sute de adrese IP afectate la nivel global, distribuite în peste 45 de țări.
Analiștii Kaspersky Lab au descoperit că atacatorii Epic Turla folosesc în atacurile de tip watering hole atât exploit-uri de tip zero-day, cât și strategii de social engineering pentru a infecta țintele.
În trecut, aceștia au folosit cel puțin două tipuri de exploit-uri zero-day: unul pentru Windows XP și 2003 (CVE-2013-5065), exploit care permitea atacatorilor Epic să obțină drepturi de administrator asupra sistemului și să funcționeze fără nicio restricție; și un al doilea exploit în Adobe Reader (CVE-2013-3346) inclus în atașamentele trimise victimelor.
În momentul în care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluând imediat controlul asupra sistemului.
'De remarcat este faptul că ar putea exista conexiuni și cu alte operațiuni de spionaj cibernetic: în februarie 2014, experții Kaspersky Lab au observat că operatorii Miniduke foloseau aceleași web-shell-uri pe serverele infectate ca și echipa Epic. O legătura a operațiunii Epic cu Turla și Miniduke sugerează, de asemenea, posibili autori vorbitori de limba rusă. Unul dintre backdoor-urile Epic are numele intern 'Zagruzchik.dll', care înseamnă 'bootloader' sau 'program de încărcare' în limba rusă. Nu în ultimul rând, panoul de comandă și control al Epic setează pagina de cod 1251, care este folosită pentru caracterele chirilice', se mai spune în comunicatul Kaspersky Lab.
Kaspersky Lab este cel mai mare producător privat de soluții de securitate endpoint din lume, fiind inclus în topul primilor patru producători de soluții pentru protecție endpoint la nivel mondial.
Purtătorul de cuvânt al Serviciului Român de Informații, Sorin Sava, a declarat joi, pentru AGERPRES, că instituții publice din România sunt ținta unui atac cibernetic de anvergură.
"E vorba de un atac cibernetic de anvergură la adresa unor instituții din România. Pentru noi nu este o chestiune nouă, noi încă de la începutul anului 2014 avem în vedere aceste entități agresoare", a afirmat Sava.
SRI, în calitate de autoritate națională în domeniul cyber inteligence, derulează o investigație în acest caz.