Attaques Epic Turla (alias Snake/Uroburos)

DÉFINITION DU VIRUS

Type de virus : menace persistante avancée (APT)

Qu'est-ce que le programme malveillant Epic Turla ?

Turla, également connu sous le nom de Snake ou d'Uroburos, est l'une des campagnes de cyberespionnage les plus sophistiquées qui sévit. Selon la dernière étude de Kaspersky Lab réalisée sur cette opération, Epic serait la phase initiale du mécanisme d'infection des victimes de Turla.

Les secteurs cibles d'Epic sont des institutions gouvernementales : ministères de l'Intérieur, du Commerce, des Affaires étrangères, de la Défense, de la recherche et de l'éducation, services secrets, ambassades, et groupes pharmaceutiques.

La majorité des victimes sont situées au Moyen-Orient et en Europe, mais d'autres ont été recensées dans d'autres régions, notamment aux États-Unis. Au total, les experts de Kaspersky Lab ont répertorié plusieurs centaines d'IP victimes dans plus de 45 pays, la France arrivant au premier rang de cette liste.

Les attaques détectées lors de cette opération appartiennent à plusieurs catégories, selon le vecteur d'infection initial utilisé pour compromettre la victime :

• E-mails de phishing ciblé par l'intermédiaire de failles d'exploitation touchant des fichiers PDF Adobe (CVE-2013-3346 et CVE-2013-5065)
• Techniques d'ingénierie sociale incitant l'utilisateur à lancer un programme installant un programme malveillant avec l'extension .SCR, parfois RAR
• Stratégies de point d'eau (watering hole) utilisant des failles d'exploitation Java (CVE-2012-1723), des failles d'exploitation Adobe Flash (inconnues) ou des failles d'exploitation Internet Explorer 6, 7 et 8 (inconnues)
• Attaques de point d'eau (watering hole) s'appuyant sur des techniques d'ingénierie sociale incitant l'utilisateur à lancer un programme malveillant Flash Player factic

Informations relatives à la menace

Les pirates utilisent des e-mails de phishing ciblé et des stratégies de point d'eau (watering hole) pour infecter les victimes. Les points d'eau (watering holes) sont des sites Internet fréquemment visités par les utilisateurs ciblés, qui sont infectés à l'avance par les criminels pour servir le code malveillant. Selon l'adresse IP du visiteur (ex. celle d'une organisation gouvernementale), les pirates utilisent des failles d'exploitation Java ou du navigateur, un logiciel Adobe Flash Player factice signé ou une version factice de Microsoft Security Essentials.

Nous avons recensé plus de 100 sites Internet infectés. Le choix des sites Internet reflète l'intérêt spécifique des criminels. Par exemple, de nombreux sites Internet espagnols infectés appartiennent aux gouvernements locaux.

Une fois l'utilisateur infecté, le backdoor Epic se connecte immédiatement au serveur de commande et de contrôle afin d'envoyer un pack contenant les informations système de la victime. Le backdoor est également appelé « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tadvig ».

Une fois le système corrompu, les pirates reçoivent un résumé des informations de la victime et, sur la base de ces données, envoient des fichiers préconfigurés contenant une série de commandes à exécuter. En outre, les criminels téléchargent des outils de mouvement latéral personnalisés parmi lesquels un outil d'enregistreur de frappe spécifique, un outil d'archivage RAR et des utilitaires standard tels que l'outil de requête DNS de Microsoft. 

Comment puis-je savoir si je suis infecté par le virus Epic Turla ?

Le meilleur moyen de déterminer si vous avez été victime du virus Epic Turla consiste à identifier s'il y a eu intrusion. L'identification de la menace peut être réalisée à l'aide d'une solution antivirus puissante telle que celles proposées par Kaspersky Lab.

Les produits Kaspersky Lab détecteront les modules suivants du virus Epic Turla :

Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

Comment puis-je me protéger du virus Epic Turla ?

• Veillez à ce que votre système d'exploitation ainsi que toutes les applications tierces soient systématiquement à jour, notamment Java, Microsoft Office et Adobe Reader
• N'installez pas de logiciel provenant de sources non fiables, notamment si une page aléatoire vous y invite
• Méfiez-vous des e-mails provenant de sources inconnues et qui contiennent des pièces jointes ou des liens suspects

Une solution de sécurité ainsi que tous ses composants doivent être activés en permanence. Les bases de données de la solution doivent également être à jour.