Pierwsze doniesienia o skomplikowanych atakach kierowanych przeciw Ministerstwu Obrony USA zanotowano w 2008r. W późniejszym czasie specjaliści do spraw bezpieczeństwa odkryli, że atakowano również inne cele, poza Ameryką. Samo złośliwe oprogramowanie było stopniowo ulepszane, dlatego można mówić o całej rodzinie koni trojańskich, nazwanych Turla (nazwa pochodzi od ultra3 – domeny wykrytej przez specjalistów w Microsofcie). Kolejne ataki były tak spektakularne, że zyskały własne nazwy: Uroburos, Epic, Carbon oraz Snake. Celem były instytucje rządowe w wielu krajach Europy Zachodniej oraz w USA. Dokładne badania zaczęto w 2011 r., a program pomocy instytucjom narażonym na ataki rozpoczęto na większą skalę dopiero rok temu. W 2014 r. firma G-Data opublikowała informacje o bardzo zaawansowanym koniu trojańskim, który zainfekował komputery w firmie BAE systems. Publikowane od tego czasu informacje wskazują, że mamy do czynienia z oprogramowaniem klasy militarnej napisanym przez ekspertów i wykorzystywanym do całej serii ataków. Wskazówki wewnątrz kodu dowodzą, że złośliwe oprogramowanie zostało napisane przez rosyjskojęzycznych programistów. Mechanizm ataku początkowo wykorzystywał phishing, ale później napastnicy kreatywnie rozwinęli znaną technikę drive-by. Był to atak kierowany, w którym infekowano jedynie komputery z wybranych instytucji.

Atak u wodopoju

W odróżnieniu od pospolitych koni trojańskich, mających na celu kradzież pieniędzy użytkowników bankowości elektronicznej, ataki związane z omawianym oprogramowaniem były kierowane bardzo precyzyjnie. Aby osiągnąć swój cel, napastnicy wykorzystali technologię odsiewania niepożądanych stacji, nazywaną atakiem u wodopoju. Na przejętej witrynie internetowej, którą odwiedzali pracownicy danej instytucji umieszczano niewidoczną ramkę IFRAME, która przekierowywała ruch na inny serwer, z którego hostowano złośliwe oprogramowanie. Na docelowej stronie sprawdzano adres IP i porównywano z listą adresów właściwych dla podmiotu, który był celem ataku. Jeśli adres się zgadzał – strona wysyłała eksploit oraz instalator konia trojańskiego. Od września 2012 r. co najmniej 84 strony WWW były przejęte po to, by infekować komputery tym koniem trojańskim.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Wbrew temu, co początkowo sądzono, do większości ataków nie była potrzebna podatność dnia zerowego – wystarczyły powszechnie znane luki (między innymi popularna Java JRE CVE-2012-1723, a także luki w oprogramowaniu firmy Adobe, takie jak CVE-2013-3346), które w tej firmie nie zostały załatane. Do części ataków napastnicy użyli popularnej sztuczki socjotechnicznej i zachęcali do pobrania fałszywej aktualizacji wtyczki Adobe Flash. W kilku przypadkach napastnicy wykorzystali fakt, że komputery poddostawców były znacznie gorzej chronione niż te, znajdujące się w docelowej instytucji.

Dwa etapy infekcji

Serwery zarządzania botnetem obecne w jednej domenie są łatwym celem, gdyż ataki spear phishing można szybko analizować a domeny – przejąć i wyłączyć. Z drugiej strony napastnicy nie potrzebowali ciągłej dostępności łatwo dostępnej sieci zarządzania. Aby uwolnić się od ograniczeń, zastosowali dwuetapowy proces infekcji, wprowadzając konia trojańskiego pierwszego rzutu nazywanego Wipbot, Carbon, Pfinet, Tavdig lub Epic, który następnie zarażał wybrane komputery docelowym trojanem Turla, zarządzanym w inny sposób.

Po przejęciu kontroli nad stacją roboczą, trojan pierwszego etapu pobierał dalsze polecenia, wysyłał informacje o zarażonym komputerze, by włamywacze upewnili się, że jest to maszyna z instytucji, która ich interesuje. Jeśli tak było, Wipbot pobierał docelowe złośliwe oprogramowanie i je uruchamiał. Potem za pomocą bardzo ciekawej techniki napastnikom udawało się uzyskać uprawnienia na poziomie jądra systemu. Po przejęciu kontroli, trojan Turla nawiązywał komunikację z ośrodkiem dowodzenia botnetem. Napastnicy na późniejszym etapie dokonywali rozpoznań infrastruktury i poziomych ataków, aż do przejęcia kontroli nad całą siecią. Przystępowali wówczas do długotrwałej kradzieży informacji. W ten sposób udało się ukraść dużo danych, oszacowanie skutków ataku będzie trudne, gdyż niektóre sieci były kontrolowane przez lata.