Ataques de Epic Turla (snake/Uroburos)

DEFINICIÓN DEL VIRUS

Tipo de virus: amenaza persistente avanzada (APT)

¿Qué es Epic Turla?

Turla, también conocida como Snake o Uroburos, es una de las campañas de ciberespionaje actual más sofisticadas. La investigación más reciente de Kaspersky Lab sobre esta operación revela que Epic es la etapa inicial del mecanismo de infección de víctimas Turla.

Los objetivos de "Epic" se clasifican en las siguientes categorías: entidades gubernamentales (Ministerio del Interior, Ministerio de Comercio, Ministerio de Relaciones Exteriores, organismos de inteligencia), embajadas, entidades militares, organizaciones de investigación y académicas, y empresas farmacéuticas.

La mayoría de las víctimas reside en el Medio Oriente y Europa; sin embargo, también hemos identificado objetivos en otras regiones, incluso en Estados Unidos. En total, los expertos de Kaspersky Lab contaron varios cientos de direcciones IP de víctimas distribuidas en más de 45 países, con Francia a la cabeza de la lista.

Los ataques detectados en esta operación se clasifican en varias categorías diferentes, en función del vector de infección inicial utilizado para comprometer a la víctima:

Correos electrónicos de spear-phishing con exploits de Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
Ingeniería social que engaña al usuario para que ejecute instaladores de malware con la extensión ".SCR", a veces empaquetados como archivos RAR
Ataques de waterholing que usan exploits de Java (CVE-2012-1723), exploits de Adobe Flash (desconocidos) o exploits de Internet Explorer 6, 7, 8 (desconocidos)
Ataques de waterholing que utilizan ingeniería social para engañar al usuario con el fin de que ejecute instaladores de malware con la apariencia del software "Flash Player" falso

Detalles de la amenaza

Los atacantes usan correos electrónicos de spear-phishing directos y ataques de waterholing para infectar a las víctimas. Los "waterholes" son sitios web que suelen visitar las víctimas potenciales. Los atacantes infectan estos sitios web con anticipación, inyectándoles el código malicioso que deben distribuir. Según la dirección IP del visitante (por ejemplo, la IP de un organismo de gobierno), los atacantes instalan exploits de Java o de navegador, software Adobe Flash Player falso o una versión falsa de Microsoft Security Essentials.

En total, observamos más de 100 sitios inyectados. La elección de los sitios web demuestra el interés específico de los atacantes. Por ejemplo, varios de los sitios web españoles infectados pertenecen a gobiernos locales.

Después de que el usuario es infectado, la puerta trasera de Epic se conecta de inmediato al servidor de comandos y control (C&C) para enviar un paquete con la información del sistema de la víctima. La puerta trasera también se conoce como "WorldCupSec", "TadjMakhal", "Wipbot" o "Tadvig".

Después de comprometer el sistema, los atacantes reciben un breve resumen de información de la víctima y, basándose en ella, entregan archivos por lotes previamente configurados que contienen una serie de comandos para ejecución. Además de ellos, los atacantes cargan herramientas de movimiento lateral personalizadas. Entre estas, se incluye un keylogger específico, un archivador RAR y utilidades estándar, como una herramienta de consulta DNS de Microsoft.

¿Cómo puedo saber si fui infectado por Epic Turla?

La mejor manera de determinar si fuiste víctima de Epic Turla es identificar si hubo una intrusión. La identificación de amenazas puede ejecutarse con un producto antivirus eficaz, como las soluciones Kaspersky Lab.

Los productos Kaspersky Lab detectan los siguientes módulos de Epic Turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

¿Cómo puedo protegerme de Epic Turla?

Mantén actualizado el sistema operativo y todas las aplicaciones de terceros, especialmente Java, Microsoft Office y Adobe Reader
No instales programas de software de fuentes no confiables, por ejemplo, cuando te lo solicite una página aleatoria
Ten cuidado con los correos electrónicos de fuentes desconocidas que contengan archivos adjuntos o enlaces sospechosos

Debes tener activada en todo momento una solución de seguridad y todos sus componentes deben estar activos. Además, las bases de datos de la solución deben estar actualizadas.