Μία εκστρατεία κυβερνοκατασκοπείας που περιλαμβάνει τα γνωστά malware Wipbot και Turla έχει στοχεύσει συστηματικά κυβερνήσεις και πρεσβείες σε μία σειρά χωρών του πρώην Ανατολικού μπλοκ.
Το Trojan.Wipbot (ή με την ονομασία Tavdig) αποτελείται από ένα back door που χρησιμοποιείται για να διευκολύνει την αναγνώριση της δραστηριότητας, πριν ο επιτιθέμενος μεταβεί σε μακρόχρονη παρακολούθηση με τη χρήση του Trojan.Turla (επίσης γνωστό και ως Uroboros, Snake και Carbon).
Υπολογίζεται ότι αυτός ο συνδυασμός malware έχει χρησιμοποιηθεί σε κλασσικού τύπου δραστηριότητες κατασκοπείας τα τελευταία 4 χρόνια. Λόγω των επιλεγμένων στόχων και του εξελιγμένου malware που χρησιμοποιήθηκε, η Symantec πιστεύει ότι πίσω από αυτές τις επιθέσεις κρύβεται μία ομάδα που έλαβε κρατική χρηματοδότηση.
Η ομάδα πίσω από το Turla βασίζεται σε μία διττή στρατηγική επίθεσης που περιλαμβάνει μόλυνση των θυμάτων μέσω spear phishing emails και επιθέσεις τύπου watering hole. Οι επιθέσεις watering hole έχουν επαρκείς δυνατότητες έκθεσης, με τους επιτιθέμενους να παραβιάζουν μία σειρά νόμιμων ιστοσελίδων και να προσβάλουν μόνο τα θύματα που τις επισκέπτονται από προεπιλεγμένες ΙΡ διευθύνσεις. Αυτές οι παραβιασμένες ιστοσελίδες φέρουν το Trojan.Wipbot. Είναι πολύ πιθανό, ότι το Wipbot χρησιμοποιείται έπειτα ως downloader για να μεταφέρει τον Turla στο θύμα.
Τα θύματα
Ενώ οι μολύνσεις αρχικά εμφανίστηκαν σε μία σειρά από Ευρωπαϊκές χώρες, μία πιο βαθιά ανάλυση αποκάλυψε ότι αρκετές μολύνσεις στη δυτική Ευρώπη έγιναν σε υπολογιστές που ήταν συνδεδεμένοι με ιδιωτικά δίκτυα των χωρών του πρώην Ανατολικού μπλοκ. Αυτές οι μολύνσεις συνέβησαν στις πρεσβείες των χωρών αυτών.
Ανάλυση στις μολύνσεις αποκάλυψε ότι οι επιτιθέμενοι είχαν εστιάσει σε ένα μικρό αριθμό χωρών. Για παράδειγμα, το Μάιο του 2012, το γραφείο του πρωθυπουργού μίας χώρας μέλους της πρώην Σοβιετικής Ένωσης παραβιάστηκε. Αυτή η μόλυνση εξαπλώθηκε γρήγορα και περισσότεροι από 60 υπολογιστές στο γραφείο του πρωθυπουργού τέθηκαν σε κίνδυνο.
Μία άλλη επίθεση έγινε σε έναν υπολογιστή στην πρεσβεία της Γαλλίας σε μία ακόμη χώρα που ανήκε στην πρώην Σοβιετική Ένωση, στο τέλος του 2012. Κατά τη διάρκεια του 2013, η μόλυνση εξαπλώθηκε σε άλλους υπολογιστές συνδεδεμένους με το δίκτυο του υπουργείου εξωτερικών της συγκεκριμένης χώρας. Επίσης, μολύνθηκε και το υπουργείο εσωτερικών. Επιπλέον έρευνα εντόπισε μία συστηματική εκστρατεία κατασκοπείας που είχε ως στόχο το διπλωματικό σώμα. Παρόμοιες μολύνσεις είχαν υποστεί πρεσβείες στο Βέλγιο, στην Ουκρανία, στην Κίνα, στην Ιορδανία, στην Ελλάδα, στο Καζακστάν, στην Αρμενία, στην Πολωνία και στη Γερμανία.
Τουλάχιστον πέντε ακόμη χώρες στην περιοχή έχουν γίνει στόχος παρόμοιων επιθέσεων. Ενώ οι επιτιθέμενοι έχουν κυρίως εστιάσει στο πρώην Ανατολικό μπλοκ, βρέθηκαν και άλλοι στόχοι. Αυτοί περιλαμβάνουν το υπουργείο υγείας μίας Δυτικοευρωπαϊκής χώρας, το υπουργείο παιδείας μίας χώρας στην Κεντρική Αμερική, μία κρατική αρχή ηλεκτρισμού στη Μέση Ανατολή και έναν οργανισμό παροχών υγείας στις Η.Π.Α.
