מעבדת קספרסקי

קספרסקי

חוקרי מעבדת קספרסקי ממשיכים לנטר את ענפי הפעילות המגוונים של שחקן האיום דובר הרוסית Turla (המוכר גם כ-Snake ו-Uroburos). בדוח חדש שפרסמו הם חושפים כי לאחרונה החלו ב- Turla להחדיר את הקוד הזדוני KopiLuwak בשיטה כמעט זהה לחלוטין לזו שבה השתמש רק לפני חודש Zebrocy - מערך משנה של גורם האיום Sofacy (הידוע גם כ-Fancy Bear או APT28), שגם הוא שחקן ותיק ודובר רוסית. החוקרים מצאו חפיפה גם בין המטרות של שני השחקנים, אלו מרוכזות באזורים גיאופוליטיים חשובים במרכז אסיה ובגופי ממשל וצבא רגישים. ממצאים אלו ואחרים מתפרסמים בסקירה חדשה של צוות המחקר והניתוח הגלובלי של מעבדת קספרסקי לגבי ארבעה מערכי פעילות זדוניים המיוחסים ל-Turla.

פעילות KopiLuwak (סוג נדיר של קפה) נחשפה לראשונה בנובמבר 2016 כשהיא כוללת שימוש במסמכים זדוניים ופקודות מקרו כדי להחדיר לקורבנות קוד זדוני מוסווה, כשייעודו הוא סריקה וגילוי של מערכות ורשתות. ההתפתחות האחרונה של KopiLuwak התרחשה באמצע 2018, כאשר חוקרים הבחינו במטרות חדשות של הפעילות בסוריה ואפגניסטן. ב-Turla השתמשו בערוץ תקיפה המבוסס על פישינג ממוקד המכיל קבצי קיצור דרך של חלונות (LNK). ניתוח מראה כי קובץ ה-LNK הכיל PowerShell לפיענוח והנחתת המטען הזדוני של KopiLuwak. ה-PowerShell זהה כמעט לחלוטין לזה ששימש את Zebrocy רק חודש מוקדם יותר.

החוקרים מצאו גם חפיפה מסוימת במטרות של שני השחקנים, אשר כוללות מטרות פוליטיות, כולל גופי מחקר ממשלתי ואבטחה, משימות דיפלומטיות ויחסים ביטחוניים, בעיקר במרכז אסיה. מערכים נוספים של הקוד הזדוני של Turla אחריהם עקבו החוקרים במהלך 2018 ידועים כ-Carbon ו-Mosquito.

בסקירה שפורסמה, החוקרים מספקים עדות נוספת לכך שב-Turla ניצלו רשתות Wi-Fi כדי להחדיר את הקוד הזדוני Mosquito אל קורבנות, דרך פעולה שיעילותה נשחקה בהדרגה. החוקרים גם מצאו גרסאות של סביבת הריגול העוצמתית והוותיקה Carbon, שבאופן מסורתי הותקנה רק אצל קורבנות נבחרים בעלי עניין מיוחד. החוקרים מצפים לראות במהלך 2019 המשך בשימוש הסלקטיבי מאוד בגרסאות נוספות של הקוד הזדוני הזה. ב-2018 המטרות של מערכי הקוד הזדוני Turla הופיעו במזרח התיכון וצפון אפריקה, וכן בחלקים ממערב ומזרח אירופה, דרום ומרכז אסיה, וצפון אמריקה.

"Turla הוא אחד משחקני האיום הוותיקים, העמידים ובעלי היכולות הגבוהות ביותר שאנו מכירים. הוא ידוע בהחלפה קבועה של זהותו והתנסות בגישות חדשניות. המחקר שלנו לגבי מערכי הקוד הזדוני המרכזיים של הקבוצה מראה כי היא ממשיכה לצמוח ולהתנסות. עם זאת, כדאי לציין כי בעוד גורמי איום דוברי רוסית נוספים, כגון CozyDuke (APT29) ו-Sofacy תוקפים ארגונים במערב - כגון הפריצה, לכאורה, של הוועידה הדמוקרטית ב-2016 - Turla מפנה את הפעילות שלו בעיקר למזרח. שם הפעילות שלו, במיוחד לאחרונה, החלה לחפוף למערך Zebrocy של Sofacy. המחקר שלנו מציע כי פיתוח הקוד של Turla נמשך, וארגונים המאמינים כי הם עלולים לשמש כמטרה צריכים להיערך בהתאם", אמר קורט באומגרטנר, חוקר אבטחה ראשי, צוות GREAT, מעבדת קספרסקי.

כדי להקטין את הסיכון לפגיעה, מעבדת קספרסקי ממליצה לארגונים על הצעדים הבאים:
השתמשו בפתרון אבטחה ברמה ארגונית בשילוב טכנולוגיות נגד התקפות ממוקדות ומודיעין איומים, כגון Kaspersky Threat Management and Defence. אלה יכולים לזהות וללכוד התקפות ממוקדות מתקדמות באמצעות ניתוח חריגות ברשת, ולהעניק לצוותי אבטחת סייבר שקיפות מלאה לרוחב הרשת ויכולת תגובה אוטומטית.

ספקו לצוות האבטחה גישה לנתונים העדכניים ביותר של מודיעין איומים. אלה יכולים לחמש אותו באמצעים חשובים למחקר ומניעה של התקפות ממוקדות, כגון סממנים לפריצה (IOC), חוקי YARA ודוחות ייעודיים אודות איומים מתקדמים.
בדקו היטב את כל הגדרות המערכת והבטיחו כי קיימים ומוטמעים כהלכה תהליכים לניהול עדכונים ברמה המתאימה לארגונים.

אם זיהיתם סממן להתקפה ממוקדת, שקלו הפעלת שירותי הגנה מנוהלים שיאפשרו לזהות באופן פרואקטיבי איומים מתקדמים, יקצרו את הזמן לזיהוי ויאפשרו זמן מספיק לתגובה.