Tipo de virus: amenaza persistente avanzada (APT)
Turla, también conocida como Snake o Uroburos, es una de las campañas de ciberespionaje actual más sofisticadas. La investigación más reciente de Kaspersky Lab sobre esta operación revela que Epic es la etapa inicial del mecanismo de infección de víctimas Turla.
Los objetivos de "Epic" se clasifican en las siguientes categorías: entidades gubernamentales (Ministerio del Interior, Ministerio de Comercio, Ministerio de Relaciones Exteriores, organismos de inteligencia), embajadas, entidades militares, organizaciones de investigación y académicas, y empresas farmacéuticas.
La mayoría de las víctimas reside en el Medio Oriente y Europa; sin embargo, también hemos identificado objetivos en otras regiones, incluso en Estados Unidos. En total, los expertos de Kaspersky Lab contaron varios cientos de direcciones IP de víctimas distribuidas en más de 45 países, con Francia a la cabeza de la lista.
Los ataques detectados en esta operación se clasifican en varias categorías diferentes, en función del vector de infección inicial utilizado para comprometer a la víctima:
Los atacantes usan correos electrónicos de spear-phishing directos y ataques de waterholing para infectar a las víctimas. Los "waterholes" son sitios web que suelen visitar las víctimas potenciales. Los atacantes infectan estos sitios web con anticipación, inyectándoles el código malicioso que deben distribuir. Según la dirección IP del visitante (por ejemplo, la IP de un organismo de gobierno), los atacantes instalan exploits de Java o de navegador, software Adobe Flash Player falso o una versión falsa de Microsoft Security Essentials.
En total, observamos más de 100 sitios inyectados. La elección de los sitios web demuestra el interés específico de los atacantes. Por ejemplo, varios de los sitios web españoles infectados pertenecen a gobiernos locales.
Después de que el usuario es infectado, la puerta trasera de Epic se conecta de inmediato al servidor de comandos y control (C&C) para enviar un paquete con la información del sistema de la víctima. La puerta trasera también se conoce como "WorldCupSec", "TadjMakhal", "Wipbot" o "Tadvig".
Después de comprometer el sistema, los atacantes reciben un breve resumen de información de la víctima y, basándose en ella, entregan archivos por lotes previamente configurados que contienen una serie de comandos para ejecución. Además de ellos, los atacantes cargan herramientas de movimiento lateral personalizadas. Entre estas, se incluye un keylogger específico, un archivador RAR y utilidades estándar, como una herramienta de consulta DNS de Microsoft.
La mejor manera de determinar si fuiste víctima de Epic Turla es identificar si hubo una intrusión. La identificación de amenazas puede ejecutarse con un producto antivirus eficaz, como las soluciones Kaspersky Lab.
Los productos Kaspersky Lab detectan los siguientes módulos de Epic Turla:
Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Debes tener activada en todo momento una solución de seguridad y todos sus componentes deben estar activos. Además, las bases de datos de la solución deben estar actualizadas.