Odborníci z Kaspersky Lab zmapovali aktivity ruskojazyčné hackerské skupiny Turla

Podobné části kódu sloužily k šíření zákeřných aktivit. Odborníci si také všimli nápadně se shodujících cílů hackerů – jejich oběti z řad vládních a armádních subjektů pocházejí převážně ze střední Asie. Svá zjištění minulý čtvrtek zveřejnili odborníci z týmu Kaspersky Lab GReAT v souhrnné zprávě, která se věnuje aktivitám kyberzločinné skupiny Turla.

KopiLuwak (název odkazuje ke vzácnému druhu kávy) byl poprvé objeven v listopadu 2016. Šlo o dokumenty obsahující malware a povolená makra umožňující spuštění nového škodlivého javascriptového kódu, který byl zamaskovaný a určený pro systémovou nebo síťovou špionáž. Novou variantu malwaru KopiLuwak zaznamenali odborníci v polovině tohoto roku, kdy se objevily nové oběti v Sýrii a Afghánistánu. Hackeři ze skupiny Turla tentokrát použili novou spear-phishingovou metodu šíření malwaru využívající windowsové složky s koncovkou „.LNK“. Bezpečnostní analýza odhalila, že soubory „.LNK“ obsahovaly PowerShell, který měl dekódovat a iniciovat zhoubný obsah malwaru KopiLuwak. Právě tento PowerShell byl téměř identický s tím, který byl o měsíc dříve použit v kampani Zebrocy.

Analytici dále zjistili, že se obě skupiny zajímají o podobné cíle. Mezi ně patří význační političtí činitelé, včetně vládních výzkumných a bezpečnostních subjektů, diplomatické mise nebo vojenské aktivity soustředěné ve střední Asii.

Ve své zprávě odborníci poskytují bližší informace o praktikách skupiny Turla, které podporují jejich hypotézu, že hackeři využili Wi-Fi sítě k šíření svého malwaru Mosquito. Dále objevili nové verze vyspělé kyberšpionážní sítě Carbon, které hackeři obvykle aplikovali pouze na vybrané cíle, o něž měli obzvláště velký zájem. Na základě svých analýz předpokládají, že hackeři budou tento nástroj i nadále přetvářet a využívat i v roce 2019. V tomto roce kyberzločinci ze skupiny Turla útočili na cíle na Blízkém Východě, v severní Africe, západní i východní Evropě, střední a jižní Asii i v Americe.

„Turla je jedna z nejstarších, nejpokročilejších a velmi nebezpečných hackerských skupin. Naše analýza ukazuje, že se snaží neustále vyvíjet a vylepšovat své metody a nástroje. Snaží se ve vší tichosti útočit na cíle převážně na východě. Proto by se před touto ruskojazyčnou skupinou měly mít na pozoru především společnosti z této části světa,“ uvedl Kurt Baumgartner, člen kyberbezpečnostního týmu GReAT společnosti Kaspersky Lab.

Aby se firmy nestaly obětí cílených hackerských útoků, měly by se řídit následujícími doporučeními:

• Používat účinná firemní bezpečnostní řešení, která zahrnují technologie chránicí před cílenými útoky.
• Firemním IT bezpečnostním odborníkům zajistěte přístup k nejnovějším informacím o vývoji kybernetických hrozeb. I nástroje jako jsou indikátory napadení (IOC), detekční pravidla YARA nebo zprávy o aktuálních hrozbách zlepší ochranu podniku před aktivitami hackerů.
• Ujistěte se, že jsou dobře nastavené celofiremní procesy aktualizací systémů a softwarů.
• Pokud zaznamenáte indikátory cíleného útoku, zvažte pomoc třetí strany, která vám umožní proaktivně detekovat pokročilé hrozby a zkrátí dobu nutnou na reakci.