Ataques Epic Turla (snake/Uroburos)

DEFINICIÓN DEL VIRUS

Tipo de virus: amenaza persistente avanzada (APT)

¿Qué es Epic Turla?

Turla, también conocido como Snake o Uroburos, es una de las campañas más sofisticadas de ciberespionaje en curso. Las últimas investigaciones de Kaspersky sobre esta operación revelan que Epic es la etapa inicial del mecanismo de infección de víctimas Turla.

Los objetivos de "Epic" pertenecen a las siguientes categorías: instituciones gubernamentales (Ministerio del Interior, Ministerio de Economía y Comercio, Ministerio de Asuntos Exteriores y organismos de inteligencia), embajadas, instituciones militares, organizaciones educativas y de investigación y empresas farmacéuticas.

La mayoría de las víctimas se encuentran en Oriente Medio y Europa, sin embargo, observamos víctimas en otras regiones, incluso en Estados Unidos. En total, los expertos de Kaspersky contabilizaron varios cientos de IP de víctimas distribuidos en más de 45 países, con Francia en el primer puesto de la lista.

Los ataques detectados en esta operación se dividen en varias categorías diferentes en función del vector de infección inicial utilizado para vulnerar a la víctima:

Correos de spear phishing con exploits de Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
Ingeniería social para engañar al usuario para que ejecute los instaladores de malware con extensión ".SCR", a veces lleno de RAR
Ataques de abrevadero con exploits de Java (CVE-2012-1723), exploits de Adobe Flash (desconocidos) o exploits de Internet Explorer 6, 7, 8 (desconocidos)
Ataques de abrevadero basados en la ingeniería social para engañar al usuario para que ejecute instaladores de malware de "Flash Player" falsos

Detalles de la amenaza

Los atacantes utilizan tanto correos electrónicos de spear phishing directos como ataques de abrevadero para infectar a sus víctimas. Los abrevaderos son sitios web que las víctimas potenciales visitan habitualmente. Los atacantes vulneran estos sitios web de antemano y les inyectan código malicioso para su difusión. En función de la dirección IP del visitante (por ejemplo, una IP de una organización gubernamental), los atacantes difunden exploits de Java o de navegador, software Adobe Flash Player falso firmado o una versión falsa de Microsoft Security Essentials.

En total, hemos observado más de 100 sitios web inyectados. La elección de los sitios web refleja el interés específico de los atacantes. Por ejemplo, muchos de los sitios web en español infectados pertenecen a gobiernos locales.

Una vez que el usuario está infectado, la puerta trasera de Epic conecta inmediatamente con el servidor de mando y control (C&C) para enviar un paquete con la información del sistema de la víctima. La puerta trasera también es conocida como "WorldCupSec", "TadjMakhal", "Wipbot" o "Tadvig".

Una vez que se ha vulnerado el sistema, los atacantes reciben información resumida de la víctima y, en función de esta, distribuyen archivos por lotes preconfigurados que contienen una serie de comandos para su ejecución. Además de estos, los atacantes cargan herramientas de movimiento lateral personalizadas. Entre estas se incluyen una herramienta keylogger específica, un archivador RAR y utilidades estándar, como una herramienta de consulta a DNS de Microsoft.

¿Cómo puedo saber si estoy infectado con Epic Turla?

La mejor manera de determinar si has sido víctima de Epic Turla es identificar si se ha producido una intrusión. La identificación de la amenaza puede hacerse con un producto antivirus sólido, como las soluciones de Kaspersky.

Los productos de Kaspersky detectan los siguientes módulos de Epic Turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

¿Cómo puedo protegerme contra Epic Turla?

Mantén actualizados el sistema operativo y todas las aplicaciones de terceros, especialmente Java, Microsoft Office y Adobe Reader
No instales software procedente de fuentes que no son de confianza, por ejemplo, cuando lo solicite una página al azar
Desconfía de los correos electrónicos de fuentes desconocidas que contienen archivos adjuntos o enlaces sospechosos

Una solución de seguridad debe estar activa en todo momento y todos sus componentes deben estar activos. Las bases de datos de la solución también deben estar actualizadas.