Snake veya Uroburos olarak da bilinen Turla, devam etmekte olan en sofistike siber casusluk kampanyalarından biri. Yapılan en son Kaspersky Lab araştırmasında Epic’in Turla virüs bulaştırma mekanizmasının ilk aşaması olduğu görülüyor.
En azından 2012 yılından beri kullanılmakta olan “Epic” projesinin en yüksek hacimli etkinliğe Ocak-Şubat 2014‘te ulaştığı gözlemlenmiş. 5 Ağustos 2014 tarihinde, yani çok kısa süre önce Kaspersky Lab, kullanıcılarından birine bu saldırının gerçekleştirildiğini tespit etti.
“Epic” zararlı yazılımının kurbanları şu kategorilere ayrılır: Resmi kurumlar (İçişleri Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı, istihbarat teşkilatları), elçilikler, ordu, araştırma ve eğitim kurumları ve ilaç şirketleri. Kurbanların çoğu Orta Doğu ve Avrupa’dan olmakla birlikte araştırmacılar, ABD dahil farklı bölgelerde de virüse rastlandığını açıklıyor. Kaspersky Lab uzmanları, Fransa‘nın başını çektiği toplamda 45’ten fazla ülkede yüzlerce kurban IP‘nin etkilendiğini gözlemlemiştir.
Kaspersky Lab’ın araştırmacıları Epic Turla’nın kurbanlarına virüs bulaştırmak için sıfır günlük açıklardan yararlanan yazılımlar, sosyal mühendislik ve sulama kanalı tekniklerinden (kurbanların ilgilendiği konuları içeren, saldırganlar tarafından ele geçirilmiş ve zararlı kodlar yaymak üzere yerleştirilmiş web siteleri) faydalandığını keşfetti. Örneğin Kaspersky Lab, toplamda 100 adetten fazla yerleştirilmiş web sitesi (sulama kanalı) gözlemlemiş. Web sitesi seçimi saldırganların özel ilgi alanlarını yansıtıyor. Örneğin virüs taşıyan İspanyolca web sitelerinin çoğu yerel resmi kurumlara ait.
Kuşkulanmayan bir kullanıcı, güvenlik açıkları bulunan bir sistemde zararlı kod içeren bir PDF dosyasını açtığında makine otomatik olarak virüs kapıyor ve saldırganın hedef sistem üzerinde anında ve tam kontrol sağlamasına olanak tanıyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı Costin Raiu şu yorumlarda bulunuyor: “Carbon sistemi zararlı yazılımının yapılandırma güncellemeleri çok ilginç. Çünkü bu, Turla’nın bir diğer projesidir. Bu, Epic Turla ile başlayan çok aşamalı bir virüs ile uğraştığımız anlamına gelir. Epic Turla bir tutunma noktası elde etmek ve kurbanın profilini doğrulamak için kullanılıyor. Eğer kurban ilginç biriyse, tam Turla Carbon sistemine yükseltiliyor.”
