Type de virus : menace persistante avancée (APT)
Turla, également connu sous le nom de Snake ou d'Uroburos, est l'une des campagnes de cyberespionnage les plus sophistiquées qui sévit. Selon la dernière étude de Kaspersky Lab réalisée sur cette opération, Epic serait la phase initiale du mécanisme d'infection des victimes de Turla.
Les secteurs cibles d'Epic sont des institutions gouvernementales : ministères de l'Intérieur, du Commerce, des Affaires étrangères, de la Défense, de la recherche et de l'éducation, services secrets, ambassades, et groupes pharmaceutiques.
La majorité des victimes sont situées au Moyen-Orient et en Europe, mais d'autres ont été recensées dans d'autres régions, notamment aux États-Unis. Au total, les experts de Kaspersky Lab ont répertorié plusieurs centaines d'IP victimes dans plus de 45 pays, la France arrivant au premier rang de cette liste.
Les attaques détectées lors de cette opération appartiennent à plusieurs catégories, selon le vecteur d'infection initial utilisé pour compromettre la victime :
Les pirates utilisent des e-mails de phishing ciblé et des stratégies de point d'eau (watering hole) pour infecter les victimes. Les points d'eau (watering holes) sont des sites Internet fréquemment visités par les utilisateurs ciblés, qui sont infectés à l'avance par les criminels pour servir le code malveillant. Selon l'adresse IP du visiteur (ex. celle d'une organisation gouvernementale), les pirates utilisent des failles d'exploitation Java ou du navigateur, un logiciel Adobe Flash Player factice signé ou une version factice de Microsoft Security Essentials.
Nous avons recensé plus de 100 sites Internet infectés. Le choix des sites Internet reflète l'intérêt spécifique des criminels. Par exemple, de nombreux sites Internet espagnols infectés appartiennent aux gouvernements locaux.
Une fois l'utilisateur infecté, le backdoor Epic se connecte immédiatement au serveur de commande et de contrôle afin d'envoyer un pack contenant les informations système de la victime. Le backdoor est également appelé « WorldCupSec », « TadjMakhal », « Wipbot » ou « Tadvig ».
Une fois le système corrompu, les pirates reçoivent un résumé des informations de la victime et, sur la base de ces données, envoient des fichiers préconfigurés contenant une série de commandes à exécuter. En outre, les criminels téléchargent des outils de mouvement latéral personnalisés parmi lesquels un outil d'enregistreur de frappe spécifique, un outil d'archivage RAR et des utilitaires standard tels que l'outil de requête DNS de Microsoft.
Le meilleur moyen de déterminer si vous avez été victime du virus Epic Turla consiste à identifier s'il y a eu intrusion. L'identification de la menace peut être réalisée à l'aide d'une solution antivirus puissante telle que celles proposées par Kaspersky Lab.
Les produits Kaspersky Lab détecteront les modules suivants du virus Epic Turla :
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h
Une solution de sécurité ainsi que tous ses composants doivent être activés en permanence. Les bases de données de la solution doivent également être à jour.