Epic Turla (yılan/Uroburos) saldırıları

VİRÜS TANIMI

Virüs Türü: Gelişmiş Kalıcı Tehdit (APT)

Epic Turla nedir?

Snake veya Uroburos olarak da bilinen Turla, devam eden en sofistike siber casusluk kampanyalarından biridir. Bu faaliyete ilişkin en son Kaspersky Lab araştırmasıyla Epic'in, kurbana virüs bulaştırma mekanizması olan Turla'nın ilk aşaması olduğu ortaya koyuldu.

"Epic"in hedefleri, şu kategorilerde yer alır: devlet kurumları (İçişleri Bakanlığı, Sanayi ve Ticaret Bakanlığı, Dışişleri Bakanlığı, istihbarat daireleri), büyükelçilikler, ordu, araştırma ve eğitim kuruluşları ve ilaç şirketleri.

Kurbanların çoğu Orta Doğu ve Avrupa'da bulunur ancak ABD dahil olmak üzere diğer bölgelerde de kurbanlar olduğunu gözlemledik. Kaspersky Lab uzmanları, listenin başında Fransa yer almak üzere 45'ten fazla ülkede toplamda birkaç yüz kurban IP'si tespit etti.

Bu operasyonda tespit edilen saldırılar, kurbanı ele geçirmede kullanılan ilk virüs bulaştırma vektörüne bağlı olarak birkaç farklı kategoride yer almaktadır:

• Adobe PDF açıklarından yararlanan hedef odaklı kimlik avı e-postaları (CVE-2013-3346 + CVE-2013-5065)
• Kullanıcıyı kandırarak bazen RAR içinde bulunan ".SCR" uzantılı kötü amaçlı yazılım yükleyicileri çalıştırmasını sağlayan sosyal mühendislik
• Java açıklarını kullanan kaynak saldırıları (CVE-2012-1723), Adobe Flash açıkları (bilinmiyor) veya Internet Explorer 6, 7, 8 açıkları (bilinmiyor)
• Kullanıcıyı kandırarak sahte "Flash Player" kötü amaçlı yazılım yükleyicileri çalıştırmasını sağlayan sosyal mühendisliğe dayalı kaynak saldırıları

Tehdit Ayrıntıları

Saldırganlar kurbanlara virüs bulaştırmak için hem doğrudan hedef odaklı kimlik avı e-postalarını hem de kaynak saldırılarını kullanırlar. Kaynaklar, potansiyel kurbanlar tarafından yaygın olarak ziyaret edilen web siteleridir. Bu web siteleri saldırganlar tarafından önceden ele geçirilir ve kötü amaçlı kod yerleştirilir. Ziyaretçinin IP adresine (örneğin bir devlet kurumunun IP'si) bağlı olarak saldırganlar Java veya tarayıcı açıkları, imzalı sahte Adobe Flash Player yazılımı veya sahte bir Microsoft Security Essentials sürümü sunar.

Toplamda 100'den fazla virüslü web sitesi gözlemledik. Seçilen web siteleri, saldırganların çıkarlarını yansıtıyor. Örneğin, virüslü İspanyol web sitelerinin çoğu yerel hükümetlere ait.

Kullanıcı virüs kaptıktan sonra Epic arka kapısı hemen komut ve kontrol (C&C) sunucusuna bağlanır ve kurbanın sistem bilgilerini içeren bir paket gönderir. Bu arka kapı aynı zamanda "WorldCupSec", "TadjMakhal", "Wipbot" veya "Tadvig" olarak da bilinir.

Sistem ele geçirildikten sonra saldırganlar kurbandan özet bilgileri alır ve bunlara dayanarak yürütme için bir dizi komut içeren önceden yapılandırılmış toplu dosyaları iletir. Saldırganlar bunlara ek olarak özel yan hareket araçları yükler. Bunlar arasında özel bir tuş kaydedici aracı, bir RAR arşivleyici ve Microsoft'tan DNS sorgu aracı gibi standart yardımcı araçlar bulunur.

Epic Turla virüsü kapıp kapmadığımı nasıl anlarım?

Epic Turla kurbanı olup olmadığınızı belirlemenin en iyi yolu, izinsiz giriş olup olmadığını tespit etmektir. Tehditler Kaspersky Lab çözümleri gibi güçlü bir antivirüs ürünüyle tanımlanabilir.

Kaspersky Lab ürünleri aşağıdaki Epic Turla modüllerini algılar:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Kendimi Epic Turla'ya karşı nasıl koruyabilirim?

• İşletim sistemini ve özellikle Java, Microsoft Office ve Adobe Reader gibi tüm üçüncü taraf uygulamaları güncel tutun
• Örneğin rastgele bir sayfa tarafından istenmesi gibi güvenilmeyen kaynaklardan yazılım yüklemeyin
• Bilinmeyen kaynaklardan gelen, şüpheli ekler veya bağlantılar içeren e-postalara dikkat edin

Her zaman bir güvenlik çözümünün açık ve tüm bileşenlerinin etkin olması gerekir. Çözümün veritabanları da güncel olmalıdır

Kötü Amaçlı Yazılım Tehditleri ile ilgili diğer makaleler ve bağlantılar

• Onion Fidye Yazılımı (Şifreleme Trojanı)
• Crouching Yeti Kötü Amaçlı Yazılım Tehdidi
• Kaspersky Internet Security