Monitorando i vari cluster di Turla, autore malevolo di lunga data e di lingua russa, i ricercatori di Kaspersky Lab hanno scoperto che l’evoluzione più recente del suo malware, KopiLuwak, viene distribuita alle vittime grazie ad un codice quasi identico a quello utilizzato un mese prima dall’operazione Zebrocy, un sottogruppo di Sofacy (noto anche come Fancy Bear e APT28), altro storico cybergruppo di lingua russa
I risultati della ricerca sono contenuti all’interno di una panoramica, pubblicata ieri dal GReAT (il Global Research and Analysis Team) di Kaspersky Lab. dedicata alla più recente evoluzione e attività di quattro cluster attivi, riconducibili all’autore di minacce Turla.
KopiLuwak (un nome derivato da un raro tipo di caffè) è stato scoperto per la prima volta nel novembre 2016, mentre inviava documenti contenenti malware e macro abilitate, che lanciavano nuovi malware in Javascript ampiamente offuscati e progettati per attività di ricognizione su sistemi e reti. L’evoluzione più recente di KopiLuwak è stata osservata intorno alla metà del 2018, quando i ricercatori hanno notato nuovi obiettivi designati in Siria e in Afghanistan. Turla utilizzava un nuovo vettore di consegna di spear-phishing con file Windows Shortcut (estensione .LNK). L’analisi ha mostrato che il file di tipo .LNK conteneva del codice PowerShell in grado di decodificare ed eseguire localmente il payload KopiLuwak. Questo codice era quasi identico a quella usato nell’attività di Zebrocy il mese precedente.
I ricercatori hanno riscontrato anche similitudini tra gli obiettivi dei due autori di minacce, che si concentrano su bersagli politici sensibili, come enti di ricerca e sicurezza governativi, missioni diplomatiche e enti per la sicurezza militare, perlopiù in Asia centrale.
Tra gli altri cluster riconducibili a malware Turla rilevati dai ricercatori nel corso del 2018 ci sono anche casi noti, come Carbon e Mosquito.
Nella panoramica realizzata, i ricercatori hanno fornito nuove prove a sostegno di una delle loro ipotesi: l’abuso da parte di Turla delle reti Wi-Fi per la distribuzione del malware Mosquito alle vittime: una pratica che, però, potrebbe attenuarsi in modo graduale. Hanno anche rilevato ulteriori modifiche del potente e strutturato framework Carbon, utilizzato per il cyberspionaggio e installato in maniera tradizionale e in modo molto selettivo solo su vittime di particolare interesse; i ricercatori si aspettano di osservare ulteriori modifiche al codice e una distribuzione selettiva di questo malware anche nel 2019.
Tra gli obiettivi del 2018 per i cluster di malware Turla troviamo il Medio Oriente e l’Africa settentrionale, varie parti dell’Europa occidentale e orientale, dell’Asia centrale e meridionale e delle Americhe.
“Turla è uno dei più longevi, resistenti e abili autori di minacce. È noto per aver costantemente cambiato pelle e per aver messo in atto innovazioni e nuovi approcci. La nostra ricerca sui principali cluster di malware nel corso del 2018 mostra che Turla continua a crescere e a sperimentare. Tuttavia, vale la pena notare che, mentre altri autori di minacce di lingua russa come CozyDuke (APT29) e Sofacy hanno preso di mira organizzazioni in Occidente, come accaduto con il presunto hackeraggio del Comitato Nazionale Democratico nel 2016, il gruppo APT Turla stava tranquillamente sviluppando le proprie azioni verso est, dove la sua attività e, più di recente, anche le sue tecniche di distribuzione hanno cominciato a sovrapporsi a Zebrocy, un sottogruppo di Sofacy. La nostra ricerca suggerisce che lo sviluppo e l’implementazione del codice del gruppo Turla è in corso e che le organizzazioni che ritengono di poter diventare un obiettivo dovrebbero prepararsi ad un possibile attacco”, ha dichiarato Kurt Baumgartner, Principal Security Researcher del GReAT di Kaspersky Lab.
Kaspersky Lab raccomanda alle organizzazioni di mettere in atto alcuni accorgimenti per evitare di diventare vittima di operazioni APT:
- Utilizzare a livello aziendale una soluzione di sicurezza comprovata insieme a tecnologie anti-targeted attack e di intelligence delle minacce, come la soluzione Kaspersky Threat Management e Defense. Questo tipo di soluzione è in grado di individuare e di bloccare attacchi APT analizzando le anomalie e offrendo ai team di sicurezza informatica piena visibilità della rete e automazione delle risposte.
- Fornire al personale di sicurezza l’accesso ai più recenti dati di intelligence sulle minacce, in modo da dotarli di strumenti utili per la ricerca e la prevenzione dagli attacchi mirati, come indicatori di compromissione (IOC), YARA e reporting avanzato e personalizzato delle minacce.
- Assicurarsi che i processi di gestione delle patch a livello aziendale siano ben definiti e controllare attentamente tutte le configurazioni di sistema, mettendo in atto delle best practice.
- In caso di rilevamento dei primi segnali di un attacco mirato, è importante prendere in considerazione i servizi di protezione gestiti che consentono di rilevare proattivamente le minacce avanzate, di ridurre i tempi di esposizione e di organizzare una risposta tempestiva agli incidenti.