Los analistas de Kaspersky Lab que monitorizan los grupos de Turla (también conocido como Snake o Uroburos).
El actor de amenazas de habla rusa, han descubierto que la evolución más reciente de su malware KopiLuwak se entrega a las víctimas utilizando un código casi idéntico al utilizado hace apenas un mes por la operación Zebrocy, un subgrupo de Sofacy (también conocido como Fancy Bear y APT28), otro actor de amenazas de habla rusa de una cierta antigüedad. Los analistas también encontraron una coincidencia en los objetivos de los dos actores de amenazas en puntos de Asia central y en entidades gubernamentales y militares sensibles.
Estos hallazgos se incluyen en un resumen general sobre la última evolución y actividad de cuatro focos de actividad atribuidos al actor de amenazas Turla, publicado el pasado 4 de octubre por el equipo de Kaspersky Lab.
KopiLuwak (el nombre se toma de un tipo poco frecuente de café) fue identificado por primera vez en noviembre de 2016 entregando documentos que contenían malware y macros habilitadas, y que descargan malware en Javascript muy ofuscado diseñado para el reconocimiento del sistema y la red. La evolución más reciente de kopiLuwak se observó a mediados de 2018, cuando los investigadores encontraron nuevos objetivos en Siria y Afganistán. Turla utilizó un nuevo vector de entrega de phishing con archivos de acceso directo de Windows (.LNK). El estudio muestra que el archivo LNK contenía PowerShell para decodificar y descargar la carga dañina de KopiLuwak. Este PoweShell era casi idéntico al utilizado en la actividad Zebrocy el mes anterior.
Los analistas también encontraron cierta coincidencia de objetivos entre los dos actores de amenazas, centrándose en objetivos políticos sensibles, incluidas entidades gubernamentales de investigación y seguridad, misiones diplomáticas y militares, principalmente en Asia central.
Otras herramientas maliciosas usadas por Turla, rastreadas durante 2018 por los analistas, incluyen los conocidos Carbon y Mosquito.
En su resumen, los analistas aportan evidencias adicionales para respaldar la hipótesis de que Turla utilizó redes Wi-Fi para entregar malware Mosquito a las víctimas, una actividad que podría estar disminuyendo. También encontraron una modificación adicional del potente y ya maduro esquema de ciberespionaje Carbon, que tradicionalmente se ha instalado de manera muy selectiva en víctimas de particular interés, y esperan ver en 2019 más modificaciones de código y despliegue selectivo de este malware. Los objetivos de 2018 para los grupos de Turla incluyen Próximo Oriente y África del Norte, así como zonas de Europa occidental y oriental, sur y centro de Asia y las Américas.
“Turla es uno de los actores de amenazas conocidos más antiguos, más duraderos y más hábiles, famoso por cambiar constantemente de piel y probar novedades y nuevos enfoques. Nuestro análisis sobre sus principales grupos de malware durante 2018 muestra que continúa creciendo y experimentando. Sin embargo, vale la pena señalar que, mientras otros actores de amenazas de habla rusa como CozyDuke (APT29) y Sofacy apuntaban hacia objetivos en occidente, como supuestamente atacar el Comité Nacional del partido Demócrata en 2016, Turla estaba desplegando silenciosamente sus operaciones en oriente, donde su actividad y, más recientemente sus técnicas de administración, comenzaron a coincidir con el subgrupo Zebrocy de Sofacy. Nuestro estudio sugiere que el desarrollo y la implementación del código Turla sigue en marcha, y las organizaciones que creen que pueden llegar a ser su objetivo deberían prepararse”, dijo Kurt Baumgartner, analista principal de seguridad del equipo GReAT de Kaspersky Lab.
Kaspersky Lab recomienda que, para reducir el riesgo de ser víctima de operaciones de ataques dirigidos, las organizaciones consideren las siguientes acciones:
- Utilizar una solución probada de seguridad para la empresa combinada con tecnologías anti-ataques dirigidos e inteligencia de amenazas, como la solución Kaspersky Threat Management and Defense. Esto permitirá detectar y capturar ataques dirigidos avanzados mediante el análisis de anomalías de la red, y dan a los equipos de ciberseguridad una visibilidad total sobre la red y la automatización de respuesta.
- Dotar al personal de seguridad de acceso a la información de amenazas más reciente, suministrándoles con herramientas útiles para la investigación y prevención de ataques dirigidos, como los indicadores de compromiso (IOC), YARA e informes de amenazas avanzados personalizados.
- Asegurarse de que los procesos de administración de parches estén bien establecidos y verificar todas las configuraciones del sistema, además de implementar las mejores prácticas.
- Si se detectan señales tempranas de un ataque dirigido, considerar servicios de protección administrados que permitan detectar, de manera proactiva, las amenazas avanzadas, reducir el tiempo de permanencia y organizar a tiempo la respuesta a incidentes.