Спутниковая Turla: жива и прячется в небесах

Правоохранительные органы, при поддержке ведущих поставщиков защитных IT-решений, стремятся заблокировать командные серверы любых зловредов, которые удаётся обнаружить. Иногда удаётся ликвидировать целые массивные ботнеты, просто выведя из строя их управляющую инфраструктуру. Однако одна из самых продвинутых APT-группировок в мире по-прежнему активна.

Среди причин успеха Turla, помимо очевидного профессионализма группировки, — умение маскироваться, и в том числе — скрывать свои командные сервера. Исследование, проведённое экспертами «Лаборатории Касперского», показало, что русскоговорящая группировка Turla использует перехват спутниковых каналов доступа, причём активно использует этот метод с 2007 года.

Хакеры эксплуатируют уязвимость в асинхронных спутниковых интернет-соединениях для «прослушки» трафика, чтобы определить, какие пользователи (точнее, IP-адреса) в настоящее время онлайн. Всё, им что нужно, это настроить такой же IP на своих серверах и сконфигурировать свои зловреды таким образом, чтобы они посылали данные на эти адреса — после успешного заражения.

Что происходит дальше: спутник рассылает запрос с заражённой машины по всей зоне своего охвата. Естественно, запрос получают и хакеры, и законопослушные подписчики сервиса. Однако, в отличие от серверов злоумышленников, в системах обычных пользователей вряд ли будут развёрнуты конкретные сервисы, «слушающие» трафик на определённых портах — этот трафик будет просто сбрасываться без ответа, в противном случае, возрастает нагрузка на и без того узкие восходящие каналы связи, используемые в асинхронных соединениях. После получения вызова от зловреда, С&C-серверы отправляют по обычным наземным коммуникациям ответ, якобы исходящий от заражённого компьютера жертвы — абонента спутникового соединения.

Этот трюк в арсенале Turla далеко не единственный. Существуют и другие механизмы, о которых потенциальным жертвам стоит подумать в первую очередь. Для первичного проникновения злоумышленники используют сразу несколько разных методов, включая сфокусированные атаки класса watering hole (заражаются только те жертвы, в чьих IP заинтересованы хакеры) и эксплуатацию ряда уязвимостей в системах посетителей. Стоит отметить, что эксплуатации подвергаются и хорошо известные уязвимости, и уязвимости нулевого дня. Это очередное доказательство тому, что необходимо использовать автоматизированную систему обнаружения уязвимостей и управления обновлениями. «Лаборатория Касперского»¹ предлагает такую систему. Не менее полезна система Automatic Exploit Prevention² — ещё один уровень защиты, предлагаемый в пакете Kaspersky Endpoint Security для бизнеса: AEP позволяет блокировать эксплойты, предотвращая развитие атаки на самом раннем этапе.

Среди прочих известных сценариев, которыми пользуются операторы Turla: спиэр-фишинговые письма с вложенными эксплойтами для Adobe PDF и даже фальшивыми Flash-плеером или инсталлятором Microsoft Security Essentials, которые предлагается запустить; весьма убедительный социальный инжинеринг.

Turla, к сожалению, лишь одна из ныне действующих высокопрофессиональных кибершпионских кампаний. Все они используют по несколько методов атаки, что означает, что в многоуровневой защите имеется поистине критическая необходимость. Это не только надёжная защита конечных точек — рабочих станций и т.д. (здесь должны быть развёрнуты уровни проактивной защиты, такие как механизмы поведенческой идентификации или контроль приложений), но и обеспечение безопасности других элементов IT-инфраструктуры. Защита электронной почты тут особенно важна в силу активного использования злоумышленниками спиэр-фишинга.

В дополнение к вышеупомянутым продуктам и технологиям, Интеллектуальные Сервисы Лаборатории Касперского заслуживают особого  внимания. Служба предоставления информационных потоков (Data Feeds) обеспечивает системы менеджмента инцидентов (SIEM) и системы ИТ-безопасности данными о «водопоях» (‘watering holes’) и командных серверах, что, применительно к особенностям Turla, может быть особенно полезно. А поскольку фактор человеческой ошибки  давно известен как самая опасная уязвимость, очевидна полезность различных уровней Тренингов по Кибербезопасности Лаборатории Касперского — для обычных сотрудников и ИТ-специалистов

Бизнесу не стоит обольщаться — хотя большая часть атак Turla направлена на правительственные, военные, исследовательские и фармацевтические организации, любое крупное предприятие может стать жертвой атаки. Бизнес-контакты с любыми структурами, представляющими интерес для Turla, может сделать вашу инфраструктуру, в глазах её операторов, своего рода трамплином для атак на более «интересные» цели. Таким образом вам необходима всесторонняя  стратегия кибербезопасности — и если вы заинтересованы в её разработке, то портфолио продуктов «Лаборатории Касперского» вам может сильно в этом помочь.

Компоненты Turla обнаруживаются решениями «Лаборатории Касперского» со следующими вердиктами:

Backdoor.Win32.Turla.cd

Backdoor.Win32.Turla.ce

Backdoor.Win32.Turla.cl

Backdoor.Win32.Turla.ch

Backdoor.Win32.Turla.cj

Backdoor.Win32.Turla.ck

Trojan.Win32.Agent.dne

[1] Функции автоматического обнаружения уязвимостей и управление патчами входят Kaspersky Total Security для бизнеса, Kaspersky Endpoint Security для бизнеса Расширенный and Kaspersky Systems Management.

[2] Технология Automatic Exploit Prevention входит во все версии Kaspersky Endpoint Security для бизнеса и в Kaspersky Security для виртуальных сред — Лёгкий агент