Romania, cea mai afectata tara de operatiunea de spionaj cibernetic Epic Turla

Romania este tara cu cele mai multe site-uri infectate (sase) care sustin atacul Epic Turla in acest moment, aflandu-se astfel pe primul loc in lume din perspectiva apetitului atacatorilor pentru noi victime, conform unui comunicat al Kaspersky Lab.

Pe primul loc la numar de victime se situeaza Franta, Romania aflandu-se pe locul sapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul Romaniei, se numara doua ministere, doua alte institutii guvernamentale, companii private, precum si utilizatori de Internet rezidential sau mobil, mai precizeaza comunicatul.

Turla, Snake sau Uroburos reprezinta una dintre cele mai sofisticate campanii de spionaj cibernetic active in prezent. In martie 2014, atunci cand au fost publicate primele analize, era inca neclar cum anume erau infectate tintele. Cele mai recente investigatii ale Kaspersky Lab asupra noii operatiuni denumite Epic sau Epiccosplay, au scos la iveala faptul ca acest ultim proiect reprezinta o parte esentiala a mecanismului de infectare a victimelor.

Tehnicile de operare ale celor doua grupari (Epic si Turla), indica faptul ca intre ele exista o relatie de cooperare sau chiar ca sunt una si aceeasi grupare.

Proiectul 'Epic' a fost utilizat in atacuri cibernetice incepand cu 2012, si culminand in perioada ianuarie-februarie 2014. Cel mai recent atac a fost detectat asupra unuia dintre utilizatorii Kaspersky Lab pe 5 august 2014.

Victimele proiectului 'Epic' apartin urmatoarelor categorii: organizatii guvernamentale (Ministere al Afacerilor Interne, Ministere al Economiei si Comertului, Ministere ale Afacerilor Externe, servicii de informatii si securitate), ambasade, armata, organizatii din domeniul cercetarii si al educatiei, companii farmaceutice.

Sute de adrese IP afectate la nivel global

O mare parte dintre victime sunt localizate in Orientul Mijlociu si in Europa. Cu toate acestea, numeroase alte victime provin din alte regiuni, cum ar fi Statele Unite sau Rusia. In total, expertii Kaspersky Lab au identificat cateva sute de adrese IP afectate la nivel global, distribuite in peste 45 de tari.

Analistii Kaspersky Lab au descoperit ca atacatorii Epic Turla folosesc in atacurile de tip watering hole atat exploit-uri de tip zero-day, cat si strategii de social engineering pentru a infecta tintele.

In trecut, acestia au folosit cel putin doua tipuri de exploit-uri zero-day: unul pentru Windows XP si 2003 (CVE-2013-5065), exploit care permitea atacatorilor Epic sa obtina drepturi de administrator asupra sistemului si sa functioneze fara nicio restrictie; si un al doilea exploit in Adobe Reader (CVE-2013-3346) inclus in atasamentele trimise victimelor.

In momentul in care un utilizator deschide un astfel de document PDF pe un sistem vulnerabil, el este automat infectat, atacatorii preluand imediat controlul asupra sistemului.

"De remarcat este faptul ca ar putea exista conexiuni si cu alte operatiuni de spionaj cibernetic: in februarie 2014, expertii Kaspersky Lab au observat ca operatorii Miniduke foloseau aceleasi web-shell-uri pe serverele infectate ca si echipa Epic. O legatura a operatiunii Epic cu Turla si Miniduke sugereaza, de asemenea, posibili autori vorbitori de limba rusa. Unul dintre backdoor-urile Epic are numele intern 'Zagruzchik.dll', care inseamna 'bootloader' sau 'program de incarcare' in limba rusa. Nu in ultimul rand, panoul de comanda si control al Epic seteaza pagina de cod 1251, care este folosita pentru caracterele chirilice", se mai spune in comunicatul Kaspersky Lab.

Kaspersky Lab este cel mai mare producator privat de solutii de securitate endpoint din lume, fiind inclus in topul primilor patru producatori de solutii pentru protectie endpoint la nivel mondial. Purtatorul de cuvant al Serviciului Roman de Informatii, Sorin Sava, a declarat joi ca institutii publice din Romania sunt tinta unui atac cibernetic de anvergura.

"E vorba de un atac cibernetic de anvergura la adresa unor institutii din Romania. Pentru noi nu este o chestiune noua, noi inca de la inceputul anului 2014 avem in vedere aceste entitati agresoare", a afirmat Sava.

SRI, in calitate de autoritate nationala in domeniul cyber inteligence, deruleaza o investigatie in acest caz.