Nuova ricerca di Kaspersky Lab su Turla e Sofacy: i due gruppi APT di lingua russa condividono schemi simili per la distribuzione del malware e obiettivi in Asia

(Roma, 5 ottobre 2018) - Monitorando i vari cluster di Turla (noto anche come Snake o Uroburos), autore malevolo di lunga data e di lingua russa, i ricercatori di Kaspersky Lab hanno scoperto che l'evoluzione più recente del suo malware, KopiLuwak, viene distribuita alle vittime grazie ad un codice quasi identico a quello utilizzato un mese prima dall'operazione Zebrocy, un sottogruppo di Sofacy (noto anche come Fancy Bear e APT28), altro storico cybergruppo di lingua russa. I ricercatori hanno anche individuato delle similitudini tra gli obiettivi dei due autori delle minacce, che si concentrano su hotspot geopolitici in Asia centrale e su enti governativi e militari sensibili. I risultati della ricerca sono contenuti all'interno di una panoramica, pubblicata ieri dal GReAT (il Global Research and Analysis Team) di Kaspersky Lab. dedicata alla più recente evoluzione e attività di quattro cluster attivi, riconducibili all'autore di minacce Turla. KopiLuwak (un nome derivato da un raro tipo di caffè) è stato scoperto per la prima volta nel novembre 2016, mentre inviava documenti contenenti malware e macro abilitate, che lanciavano nuovi malware in Javascript ampiamente offuscati e progettati per attività di ricognizione su sistemi e reti. L'evoluzione più recente di KopiLuwak è stata osservata intorno alla metà del 2018, quando i ricercatori hanno notato nuovi obiettivi designati in Siria e in Afghanistan. Turla utilizzava un nuovo vettore di consegna di spear-phishing con file Windows Shortcut (estensione .LNK). L'analisi ha mostrato che il file di tipo .LNK conteneva del codice PowerShell in grado di decodificare ed eseguire localmente il payload KopiLuwak. Questo codice era quasi identico a quella usato nell'attività di Zebrocy il mese precedente. I ricercatori hanno riscontrato anche similitudini tra gli obiettivi dei due autori di minacce, che si concentrano su bersagli politici sensibili, come enti di ricerca e sicurezza governativi, missioni diplomatiche e enti per la sicurezza militare, perlopiù in Asia centrale. Tra gli altri cluster riconducibili a malware Turla rilevati dai ricercatori nel corso del 2018 ci sono anche casi noti, come Carbon e Mosquito. Nella panoramica realizzata, i ricercatori hanno fornito nuove prove a sostegno di una delle loro ipotesi: l'abuso da parte di Turla delle reti Wi-Fi per la distribuzione del malware Mosquito alle vittime: una pratica che, però, potrebbe attenuarsi in modo graduale. Hanno anche rilevato ulteriori modifiche del potente e strutturato framework Carbon, utilizzato per il cyberspionaggio e installato in maniera tradizionale e in modo molto selettivo solo su vittime di particolare interesse; i ricercatori si aspettano di osservare ulteriori modifiche al codice e una distribuzione selettiva di questo malware anche nel 2019. Tra gli obiettivi del 2018 per i cluster di malware Turla troviamo il Medio Oriente e l'Africa settentrionale, varie parti dell'Europa occidentale e orientale, dell'Asia centrale e meridionale e delle Americhe. "Turla è uno dei più longevi, resistenti e abili autori di minacce. È noto per aver costantemente cambiato pelle e per aver messo in atto innovazioni e nuovi approcci. La nostra ricerca sui principali cluster di malware nel corso del 2018 mostra che Turla continua a crescere e a sperimentare. Tuttavia, vale la pena notare che, mentre altri autori di minacce di lingua russa come CozyDuke (APT29) e Sofacy hanno preso di mira organizzazioni in Occidente, come accaduto con il presunto hackeraggio del Comitato Nazionale Democratico nel 2016, il gruppo APT Turla stava tranquillamente sviluppando le proprie azioni verso est, dove la sua attività e, più di recente, anche le sue tecniche di distribuzione hanno cominciato a sovrapporsi a Zebrocy, un sottogruppo di Sofacy. La nostra ricerca suggerisce che lo sviluppo e l'implementazione del codice del gruppo Turla è in corso e che le organizzazioni che ritengono di poter diventare un obiettivo dovrebbero prepararsi ad un possibile attacco", ha dichiarato Kurt Baumgartner, Principal Security Researcher del GReAT di Kaspersky Lab. Kaspersky Lab raccomanda alle organizzazioni di mettere in atto alcuni accorgimenti per evitare di diventare vittima di operazioni APT: - Utilizzare a livello aziendale una soluzione di sicurezza comprovata insieme a tecnologie anti-targeted attack e di intelligence delle minacce, come la soluzione Kaspersky Threat Management e Defense. Questo tipo di soluzione è in grado di individuare e di bloccare attacchi APT analizzando le anomalie e offrendo ai team di sicurezza informatica piena visibilità della rete e automazione delle risposte. - Fornire al personale di sicurezza l'accesso ai più recenti dati di intelligence sulle minacce, in modo da dotarli di strumenti utili per la ricerca e la prevenzione dagli attacchi mirati, come indicatori di compromissione (IOC), YARA e reporting avanzato e personalizzato delle minacce. - Assicurarsi che i processi di gestione delle patch a livello aziendale siano ben definiti e controllare attentamente tutte le configurazioni di sistema, mettendo in atto delle best practice. - In caso di rilevamento dei primi segnali di un attacco mirato, è importante prendere in considerazione i servizi di protezione gestiti che consentono di rilevare proattivamente le minacce avanzate, di ridurre i tempi di esposizione e di organizzare una risposta tempestiva agli incidenti. Per ulteriori dettagli sull'attività Turla 2018, è disponibile il blogpost dedicato su Securelist. I report privati sulle ultime attività dei vari cluster Turla sono disponibili per gli iscritti del Kaspersky Intelligence Reporting. Per informazioni: [email protected] Informazioni su Kaspersky LabKaspersky Lab è un'azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l'expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell'azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it Seguici su: https://twitter.com/KasperskyLabIT http://www.facebook.com/kasperskylabitalia https://plus.google.com/+KasperskyItKL https://www.linkedin.com/kasperskylabitalia https://t.me/KasperskyLabIT