Kyberbezpečnostní tým Kaspersky zjistil, že ruskojazyčná hackerská skupiny Turla vylepšila své nástroje. Svůj nechvalně proslulý JavaScriptový malware KopiLuwak přetvořila v nový dropper Topinambour, čímž vytvořila dvě podobné verze v různých jazycích. K distribuci malwaru dochází prostřednictvím infikovaných instalačních balíčků pro software, který mimo jiné slouží k obejití internetové cenzury. Odborníci zaznamenali aktivitu Tobinambouru na začátku tohoto roku, kdy se snažil infikovat vládní subjekty.
Turla je pokročilá ruskojazyčná kyberzločinecká skupina, která se zaměřuje na kybernetickou špionáž vůči vládním a diplomatickým cílům. Je známá především svým inovativním přístupem a vlastním malwarem KopiLuwak, který byl poprvé zaznamenán na konci roku 2016. Letos odborníci z Kaspersky odhalili nové nástroje a techniky, které tato skupina začala používat. Díky nim jsou jejich aktivity nenápadnější a ztěžují odhalení.
Topinambour, česky Topinambur (podle rostliny z čeledi hvězdnicovitých), je nový .NET soubor, který skupina Turla používá k šíření a instalování JavaScript KopiLuwak prostřednictvím infikovaných instalačních balíčků legitimních softwarů jako jsou VPN – ty mohou sloužit k překonání cenzury na internetu.
Hlavní funkcí Kopiluwaku je kybernetická špionáž. Kvůli jeho nejnovějším technikám infekce je daleko těžší ho v napadeném systému detekovat. Například řídicí a kontrolní infrastruktura má takové IPs, která dokáží napodobit běžné LAN adresy. Celý malware je navíc téměř "fileless" – konečná fáze infekce v podobě zašifrovaného trojanu pro vzdálenou administraci je součástí počítačového registru, díky čemuž může ve vhodný okamžik vstoupit malware.
Dvě verze KopiLuwaku (.NET RocketMan Trojan a PowerShell MiamiBeach Trojan) jsou rovněž navržené pro kybernetickou špionáž. Odborníci se domnívají, že kyberzločinci tyto verze nasazují na zařízení, která jsou chráněna bezpečnostním softwarem schopným KopiLuwak odhalit. Po úspěšné instalaci mohou všechny tři verze způsobit následující potíže:
"Tento rok jsem zaznamenali nové nástroje a funkce v arsenálu skupiny Turla, které mají sloužit k zahlazování stop po malwaru. Vzhledem k tomu, že útočníci k šíření svého škodlivého programu využívají instalační balíčky VPN softwaru, předpokládáme, že se zaměřují na specifickou část uživatelů. Neustálé zdokonalování škodlivých nástrojů skupiny Turla potvrzuje nezbytnost bezpečnostních softwarů a aktuálních databází hrozeb, které jsou schopné ochránit firemní systémy i před nejnovějšími pokročilými trvalými hrozbami," říká Kurt Baumgartner, vrchní bezpečnostní odborník ve společnosti Kaspersky.