Atac cibernetic asupra mai multor institutii ale statului

[Greenbytes]

SRI: Atac cibernetic asupra mai multor institutii ale statului/ Kaspersky: Operatiunea de spionaj cibernetic Epic Turla tinteste institutii guvernamentale romanesti. Romania, pe primul loc in lume la numarul de site-uri infectate care sustin atacul

Mai multe institutii ale statului roman au fost tinta unor atacuri informatice, a confirmat purtatorul de cuvant al SRI, Sorin Sava, pentru RomaniaTV, precizand ca Serviciul Roman de Informatii este in alerta. Kaspersky informeaza, intr-un comunicat de presa ca "operatiunea de spionaj cibernetic Epic Turla ataca institutii guvernamentale din Romania" si ca tara noastra se afla pe primul loc in lume la numarul de site-uri infectate care sustin atacul Epic Turla in acest moment. Pe teritoriul Romaniei au fost identificate 15 victime, printre acestea numarandu-se doua ministere, doua alte institutii guvernamentale, companii private, precum si utilizatori de internet rezidential sau mobil.

Operatiunea Epic Turla

(Foto: Kaspersky)

"Da, pot sa confirm faptul ca vorbim despre un atac cibernetic si SRI, in calitate de autoritate nationala in domeniul cyber inteligence, deruleaza in prezent investigatii ce vizeaza anumite institutii din Romania. Doar unele din aceste atacuri sunt de natura sa afecteze securitatea nationala a Romaniei. In momentul de fata nu pot sa fac foarte multe declaratii, dar pot sa spun ca aceste atacuri au ca sursa grupari de criminalitate informatica, chiar actori statali, au ca sursa grupari extremiste-teroriste. Tinand cont ca aceste actiuni sunt inca in derulare, nu pot intra in detalii", a declarat Sorin Sava pentru postul de televiziune citat.

Kasperski precizeaza ca Romania se afla pe locul sapte la numarul de victime, cu 15 adrese IP afectate, pe primul loc situandu-se Franta. Printre cele 15 victime identificate pe teritoriul Romaniei, se numara doua ministere, doua alte institutii guvernamentale, companii private, precum si utilizatori de internet rezidential sau mobil, se arata in comunicat.

"Turla, Snake sau Uroburos reprezinta una dintre cele mai sofisticate campanii de spionaj cibernetic active in prezent. In martie 2014, atunci cand au fost publicate primele analize, era inca neclar cum anume erau infectate tintele. Cele mai recente investigatii ale Kaspersky Lab asupra noii operatiuni denumite Epic sau Epiccosplay, au scos la iveala faptul ca acest ultim proiect reprezinta o parte esentiala a mecanismului de infectare a victimelor. Tehnicile de operare ale celor doua grupari (Epic si Turla), indica faptul ca intre ele exista o relatie de cooperare sau chiar ca sunt una si aceeasi grupare", explica Kaspersky Lab.

Romania este, de asemenea, tara cu cele mai multe site-uri infectate (sase) care sustin atacul Epic Turla in acest moment, aflandu-se astfel pe primul loc in lume din perspectiva apetitului atacatorilor pentru noi victime. Sunt vizate tinte care prezinta interes pentru atacatori, cum ar fi utilizatorii care acceseaza internetul de la adrese IP guvernamentale.

• Redam integral comunicatul de presa transmis de Kaspersky Lab:

Operatiunea de spionaj cibernetic Epic Turla tinteste institutii guvernamentale din Romania

Bucure?ti, 7 iulie 2014

Romania se situeaza pe primul loc in lume din perspectiva numarului de site-uri infectate care sustin atacul Epic Turla in acest moment.

Turla, Snake sau Uroburos reprezinta una dintre cele mai sofisticate campanii de spionaj cibernetic active in prezent. In martie 2014, atunci cand au fost publicate primele analize, era inca neclar cum anume erau infectate tintele. Cele mai recente investigatii ale Kaspersky Lab asupra noii operatiuni denumite Epic sau Epiccosplay, au scos la iveala faptul ca acest ultim proiect reprezinta o parte esentiala a mecanismului de infectare a victimelor.

Tehnicile de operare ale celor doua grupari (Epic si Turla), indica faptul ca intre ele exista o relatie de cooperare sau chiar ca sunt una si aceeasi grupare.

Tintele. Proiectul “Epic” a fost utilizat in atacuri cibernetice incepand cu 2012, si culminand in perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.

Victimele proiectului “Epic” apartin urmatoarelor categorii: organizatii guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei si Comertului, Ministere ale Afacerilor Externe, servicii de informatii si securitate), ambasade, armata, organizatii din domeniul cercetarii si al educatiei, companii farmaceutice.

O mare parte din victime sunt localizate in Orientul Mijlociu si in Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. In total, expertii Kaspersky Lab au identificat cateva sute de adrese IP afectate la nivel global, distribuite in peste 45 de tari.

Pe primul loc la numar de victime se situeaza Franta, Romania aflandu-se pe locul sapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul Romaniei, se numara doua ministere, doua alte institu?ii guvernamentale, companii private, precum si utilizatori de internet rezidential sau mobil.

Romania este, de asemenea, tara cu cele mai multe site-uri infectate (sase) care sustin atacul Epic Turla in acest moment, aflandu-se astfel pe primul loc in lume din perspectiva apetitului atacatorilor pentru noi victime. Sunt vizate tinte care prezinta interes pentru atacatori, cum ar fi utilizatorii care acceseaza internetul de la adrese IP guvernamentale.

Vectorii de atac. Analistii Kaspersky Lab au descoperit ca atacatorii Epic Turla folosesc in atacurile de tip watering hole atat exploit-uri de tip zero-day, cat si strategii de social engineering pentru a infecta tintele.

In trecut, acestia au folosit cel putin doua tipuri de exploit-uri zero-day: unul pentru Windows XP si 2003 (CVE-2013-5065), exploit care permitea atacatorilor Epic sa obtina drepturi de administrator asupra sistemului si sa functioneze fara nicio restrictie; si un al doilea exploit in Adobe Reader (CVE-2013-3346) inclus in atasamentele trimise victimelor.

In momentul in care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluand imediat controlul asupra sistemului.

Atacatorii utilizeaza atat tehnici de spear phishing cat si watering hole pentru a infecta tintele. Atacurile detectate in aceasta campanie de spionaj cibernetic se diferentiaza in functie de vectorul de infectie folosit initial:

• Email-uri de tip spear-phishing, avand atasamente de tip Adobe PDF cu exploit-uri (CVE-2013-3346 + CVE-2013-5065)

• Strategii de social engineering ce conving utilizatorii sa ruleze programe de instalare malware cu extensia “.SCR”, ascunse uneori in cadrul unei arhive RAR

• Atacuri de tip watering hole ce distribuie exploit-uri Java (CVE-2012-1723), exploit-uri Flash (necunoscute) sau exploit-uri Internet Explorer 6, 7, 8 (necunoscute)

• Atacuri de tip watering hole cu social engineering pentru a convinge utilizatorul sa ruleze aplicatii “Flash Player” false care instaleaza malware

“Watering holes” sunt site-uri de mare interes pentru victime, ce au fost compromise in prealabil de catre atacatori si au fost programate sa injecteze coduri periculoase (exploit-uri) atunci cand sunt vizitate de posibile tinte. In functie de diver?i parametri precum ?i de adresa de IP (de ex. un IP guvernamental), watering hole-urile ii servesc vizitatorului exploit-uri JAVA sau IE, sau aplicatii false Adobe Flash Player sau Microsoft Security Essentials.

Odata ce utilizatorul este infectat, backdoor-ul Epic se conecteaza imediat la serverul de comanda si control si trimite un pachet cu informatiile referitoare la sistemul tintei. Acest backdoor este cunoscut si sub denumirile “WorldCupSec”, “TadjMakhal”, “Wipbot” sau “Tadvig”.

Dupa compromiterea sistemului, atacatorii primesc informatii succinte despre tinta si, pe baza acestora, livreaza pachete de fisiere pre-configurate, care contin o serie de comenzi ce trebuie executate in sistem.

In plus, atacatorii incarca instrumente speciale, pentru a obtine acces si la alte sisteme in reteaua victimei. Printre acestea se numara un keylogger dedicat, arhivatorul RAR si alte utilitare standard cum ar fi utilitarul DNS Query de la Microsoft.

Prima etapa a Turla. In timpul analizei, cercetatorii Kaspersky Lab au observat ca atacatorii utilizeaza malware-ul Epic pentru a instala un backdoor mai sofisticat, denumit “Cobra/Carbon system”, sau “Pfinet”. Ulterior, ei folosesc implantul Epic pentru a actualiza configuratia “Pfinet” cu un nou set de servere de comanda si control. Cunostintele foarte specifice necesare pentru a opera aceste doua backdoor-uri arata ca ele sunt interconectate si ca atacatorii sunt cu siguranta aceiasi in ambele cazuri.

“Update-urile de configuratie pentru “Cobra/Carbon system”, cunoscut de asemenea sub denumirea de Pfinet, sunt interesante, pentru ca acesta este un alt proiect legat de actorul Turla,” explica Costin Raiu, Director Global Research and Analysis Team la Kaspersky Lab. “Aceasta sugereaza ca avem de-a face cu o infectie in etape, care incepe cu Epic Turla – pentru a obtine acces si pentru a valida profilul victimei. Daca victima este interesanta, se trece la platforma de atac Turla Carbon,” incheie Costin Raiu.

Legaturi cu alte campanii de spionaj cibernetic. De remarcat este faptul ca ar putea exista conexiuni si cu alte operatiuni de spionaj cibernetic: in februarie 2014, expertii Kaspersky Lab au observat ca operatorii Miniduke foloseau aceleasi web-shell-uri pe serverele infectate ca si echipa Epic.

O legatura a operatiunii Epic cu Turla si Miniduke sugereaza de asemenea posibili autori vorbitori de limba rusa. Unul dintre backdoor-urile Epic are numele intern “Zagruzchik.dll”, care inseamna “bootloader” sau “program de incarcare” in limba rusa. Nu in ultimul rand, panoul de comanda si control al Epic seteaza pagina de cod 1251, care este folosita pentru caracterele chirilice.

Mai multe informatii cu privire la Epic Turla pute?i gasi in articolul de pe Securelist.com.

Sursa: hotnews.ro

Edited August 7, 2014 by Greenbytes

[Cyb3rGhost]

Nu am dat in Paranoia dar...avand in vedere pozitia luata de Romania fata de situatia din Ucraina...atacul asta nu ar fi mana unei anumite tari ce vrea sa domine Europa? sa zicem asa...fara sa dau nume...

[daatdraqq]

Cuvintele si caracterele rusesti folosite sunt la deruta 100% .

In alta ordine de idei , ce dracu ar vrea cineva sa fure de la noi ?

Am avut grija sa vindem tot , preventiv, sa nu aibe altii ce fura .

[aelius]

Nu va intrebati de ce toate stirile despre atacuri cibernetice, virusi, studii de caz si rahaturi sunt facute de Kaspersky ?

Ratatii isi fac reclama, statul isi mai baga ceva bani din bugete in buzunare si aia e

[Cyb3rGhost]

Oare asa sa fie aelius? )

[Farmacie]

Cam asa e , mereu apare ochelaristul ala sa ne spuna el ca sunt 15 ip-uri infectate in RO .

Toata ziua puna ziua ProTv se pupa in p*la cu SRI si Kaspersky Laba .