Epic ist vermutlich erste Phase der mehrstufigen Turla-Kampagne

Cyberspionagekampagne Epic Turla auch in Deutschland und der Schweiz aktiv

Als im März 2014 erstmals Details zur Cyberspionagekampagne „Turla“ (alias „Uroburos“ beziehungsweise „Snake“) publik wurden [1], war noch unklar, wie sich die Opfer infizierten. Kaspersky Lab hat jetzt die Schadsoftware „Epic“ als mutmaßlichen Bestandteil von Turla entlarvt. Die Cyberkampagne Epic Turla ist seit mindestens 2012 im Einsatz, war allerdings in den ersten beiden Monaten des Jahres 2014 am aktivsten. Am 5. August 2014 hat Kaspersky Lab einen weiteren Angriff festgestellt. Kaspersky Lab konnte sowohl in Deutschland als auch in der Schweiz Opfer identifizieren.

Es kann davon ausgegangen werden, dass es zwischen Turla und Epic enge Zusammenhänge gibt. Entsprechend der Untersuchungen von Kaspersky Lab lässt sich das folgende Bild zeichnen:

  • Epic Turla / Tavdiq ist das frühe Stadium innerhalb des Infizierungsmachanismuses.
  • Über die Backdoors Cobra Carbon / Pfinet werden zwischenzeitliche Upgrades und Kommunikations-Plugins durchgeführt.
  • Snake / Uroburos ist eine fortschrittliche Malware-Plattform, die ein Rootkit und virtuelle Ordner-Systeme beinhaltet.

Brennpunkt Europa – Opfer in Deutschland und der Schweiz

Epic Turla richtet sich gegen staatliche Stellen wie Innen- und Außenministerien, Handels- und Wirtschaftsministerien, Geheimdienste, Botschaften und militärische Einrichtungen. Weiter sind Bildungs- und Forschungsinstitutionen sowie die Pharmaindustrie im Visier.

Die Mehrzahl der Geschädigten sitzt in Europa oder im Nahen Osten. Es finden sich aber auch Opfer aus anderen Regionen, so etwa in den USA und in Russland. Insgesamt zählten die Experten von Kaspersky Lab inzwischen mehrere hundert betroffene IP-Adressen aus über 45 Ländern. Bisher konnte Kaspersky Lab 16 betroffene IP-Adressen aus Deutschland und acht aus der Schweiz identifizieren. Deutschland rangiert unter den meistgefährdetsten Ländern auf Platz sechs, die Schweiz auf Rang 14 [2].

Infektionen über Exploits und Social Engineering

Die Angreifer von Epic Turla nutzen Zero-Day-Schwachstellen, Social Engineering und sogenannte Wasserloch-Angriffe [3], um die Rechner ihrer Opfer zu infizieren. Abhängig von Angriffsvektor werden verschieden Arten der Infizierung genutzt:

  • Spear-Phishing-Mails mit den Adobe PDF-Exploits (CVE-2013-3346 und
  • CVE-2013-5065)
  • Über einen Social-Engineering-Trick sollen Nutzer dazu gebracht werden, Malware-Installer mit der Datei-Endung „.SCR“ auszuführen, oft in Kombination mit dem Archivierungs-Format RAR.
  • Wasserloch-Attacken, bei denen Java-Exploits (CVE-2012-1723), Adobe Flash Exploits (unbekannt) oder Exploits in den Versionen 6 bis 8 des Internet Explorers (unbekannt) verwendet werden • Wasserloch-Attacken, die mittels Social Engineering den Nutzer dazu bringen sollen, gefälschte Flash Player Malware-Installer auszuführen

Immer, wenn ein ahnungsloser Nutzer eine mit Malware präparierte PDF-Datei auf einem angreifbaren System öffnet, wird der Rechner automatisch infiziert. So erhalten die Angreifer umgehend die volle Kontrolle über das anvisierte System.

Schadsoftware wird zielgerichtet nachgeladen

Ist die Epic-Backdoor [4] erst einmal installiert, verbindet sie sich sofort mit einem Command-and-Control-Server (C&C) und schickt ein Paket mit wichtigen Informationen des Opferrechners. Entsprechend dieser Systeminformationen liefern die Angreifer dann eine Reihe weiterer Listen auszuführender Kommandos, Dateiverzeichnisse, Netzwerk-Verbindungen und weitere Tools über die Backdoor an die Opferrechner.

Bei ihrer Untersuchung sind die Experten von Kaspersky Lab auch darauf gestoßen, dass die Angreifer die Epic-Schadsoftware dazu nutzen, den Backdoor-Trojaner „Cobra/Carbon“ beziehungsweise „Pfinet“ auszuführen.

Im Verlauf des Angriffs wird über Epic die Pfinet-Konfigurationsdatei aktualisiert. „Vermutlich ist hier eine mehrstufige Kampagne am Werk, bei der Epic Turla nur den ersten Teil darstellt. Damit fassen die Angreifer Fuß und können ihre Opfer einschätzen. Sind diese interessant genug, wird bei ihnen das volle Turla-Carbon-Programm gefahren“, erklärt Costin Raiu, Director of Global Research and Analysis Team (GReAT) bei Kaspersky Lab. Der enge Zusammenhang und das Wissen hinter den Einsatzszenarien dieser Backdoors lässt den Schluss zu, dass es sich bei den Hintermännern um ein und dieselben Angreifer handeln könnte.

Es gibt noch weitere Verbindungen zu anderen Cyberkampagnen: So hat Kaspersky Lab im Februar 2014 festgestellt, dass auch Miniduke auf den Rechnern der Opfer das gleiche Terminal zur Fernsteuerung wie Epic Turla nutzt. In Kombination mit der Verwendung des internen Namens einer der Epic-Backdoors, nämlich „Zagruzchik.dll“, lässt auf einen russischen Hintergrund der Angreifer schließen. „Zagruzchik“ ist die russische Bezeichnung für Bootloader. Außerdem setzt auch Epic Turla die Codepage auf den Wert „1251“ für die Darstellung kyrillischer Schriftzeichen ein.

Es kann mit hoher Wahrscheinlichkeit ausgeschlossen werden, dass die Angreifer die Muttersprache Englisch sprechen. Bei der Analyse wurden eindeutige sprachliche Fehler wie „Password it´s wrong!“, „File is not exists“ oder „File is exists for edit“ gefunden.

Weitere Erkenntnisse zu Epic Turla sind unter https://securelist.com/analysis/publications/65545/the-epic-turla-operation/ veröffentlicht.

[1]

https://securelist.com/analysis/publications/65545/the-epic-turla-operation/

[2] Grafik Top-20-Länder

http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky_Grafik_EpicTurla_Opfer-IPs.png

[3] Unter Wasserloch-Attacken versteht man die gezielte Installation von Schadsoftware auf bestimmten Webseiten, die von Mitarbeitern der ins Visier geratenen Unternehmen oder Organisationen häufig aufgesucht werden (mehr zum Thema Spear-Phishing- und Wasserlochattacken gibt es

unter:

http://newsroom.kaspersky.eu/de/texte/detail/article/neue-gefahren-fuer-unternehmen/).

Abhängig von den IP-Adressen (beispielsweise bei der IP einer Regierungsorganisation) bedienen die Angreifer Schwachstellen im Browser oder in Java, signierte gefälschte Software des Adobe Flash Players oder gefälschte Versionen von Microsoft Security Essentials. Kaspersky Lab konnte im Rahmen seiner Untersuchung von Epic Turla mehr als 100 infizierte Webseiten identifizieren.

[4] Das Epic-Backdoor ist auch unter den Namen „WorldCupSec“, „TadjMakhal“, „Wipbot“ und „Tavdig“ bekannt