Ir para o conteúdo principal

Os ataques do Epic Turla (Snake/Uroburos)

DEFINIÇÃO DO VÍRUS

Tipo de vírus: ameaça persistente avançada (APT)

O que é Epic Turla?

O Turla, também conhecido como Snake ou Uroburos, é uma das mais sofisticadas campanhas contínuas de espionagem cibernética. A mais recente pesquisa da Kaspersky Lab sobre essa operação revela que o Epic é a fase inicial do mecanismo de infecção de vítimas do Turla.

Os alvos do “Epic” pertencem às seguintes categorias: entidades do governo (Ministério do Interior, Ministério de Indústria e Comércio, Ministério de Relações Internacionais, agências de inteligência), embaixadas, organizações militares, de pesquisa e educação e empresas farmacêuticas.

A maioria das vítimas se encontra no Oriente Médio e na Europa, mas observamos vítimas também em outras regiões, como nos EUA. No total, especialistas da Kaspersky Lab somam centenas de IPs atacados distribuídos em mais de 45 países, com a França no topo da lista.

Os ataques detectados nesta operação se enquadram em diversas categorias diferentes, dependendo do vetor de infecção inicial usado para comprometer a vítima:

  • E-mails de phishing com exploits do Adobe PDF (CVE-2013-3346 + CVE-2013-5065)
  • Engenharia social para induzir o usuário a executar instaladores de malware com extensão “.SCR”, muitas vezes compactados com RAR
  • Ataques de watering hole que usam exploits do Java (CVE-2012-1723), do Adobe Flash (desconhecidos) ou do Internet Explorer 6, 7, 8 (desconhecidos)
  • Ataques de watering hole que contam com a engenharia social para induzir o usuário a executar falsos instaladores do “Flash Player”

Detalhes da ameaça

Os invasores usam ataques diretos via e-mails de phishing e watering hole para infectar as vítimas. Watering holes são sites que as vítimas em potencial visitam com frequência. Esses sites são comprometidos com antecedência pelos invasores e são injetados para entregar código malicioso. Dependendo do endereço IP do visitante (por exemplo, o IP de uma organização governamental), os invasores enviam exploits de Java ou do navegador, software falso do Adobe Flash Player assinado ou uma versão falsa do Microsoft Security Essentials.

No total, observamos mais de 100 sites injetados. A opção dos sites reflete um interesse específico dos invasores. Por exemplo, muitos dos sites espanhóis infectados pertencem a governos locais.

Assim que o usuário é infectado, o backdoor do Epic se conecta ao servidor de comando e controle (C&C) para enviar um pacote com informações do sistema da vítima. O backdoor também é conhecido como “WorldCupSec”, “TadjMakhal”, “Wipbot” ou “Tadvig”.

Quando um sistema é comprometido, os invasores recebem um breve resumo informativo da vítima e, com base nele, enviam arquivos pré-configurados em lote, que contêm uma série de comandos para execução. Além disso, os invasores fazem o upload de ferramentas personalizadas de movimentação lateral. Elas incluem ferramentas específicas de keylogger, um compactador de arquivos RAR e utilitários padrão, como uma ferramenta de consulta de DNS da Microsoft.

Como saber se fui infectado pelo Epic Turla?

A melhor maneira de determinar se você foi vítima do Epic Turla é identificar se houve invasão. A identificação de ameaças pode ser feita por um produto antivírus eficiente, como as soluções da Kaspersky Lab.

Os produtos da Kaspersky Lab detectam os seguintes módulos do Epic Turla:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Como posso me proteger do Epic Turla?

  • Mantenha o sistema operacional e todos os aplicativos de terceiros atualizados, principalmente Java, Microsoft Office e Adobe Reader
  • Não instale software de fontes desconhecidas, por exemplo, ao receber um aviso de uma página aleatória
  • Fique atento a e-mails de fontes desconhecidas que contêm anexos ou links suspeitos

Uma solução de segurança deve estar sempre habilitada, com todos os componentes ativos. Os bancos de dados da solução também devem estar atualizados

Outros artigos e links relacionados a ameaças de malware

Os ataques do Epic Turla (Snake/Uroburos)

O que é a ameaça de malware Epic Turla (Snake), o que ela faz e como saber se você foi infectado? Saiba como se proteger on-line.
Kaspersky logo

Artigos relacionados