Epic Turla, gli spioni russi che spiano le spie

L’ultima campagna di hacking di alto profilo si chiama Epic Turla, ne dà notizia Kaspersky Labs e sembra avere origine in Russia o in paesi di lingua russa. La security enterprise moscovita non approfondisce l’aspetto politico ma un fatto è certo: i responsabili sono ben organizzati e sanno quel che vogliono.

Epic Turla è una “massiccia operazione di cyber-spionaggio” attiva da 10 mesi a questa parte, spiega Kaspersky, un’operazione che ha portato alla compromissione di svariate centinaia di computer in più di 45 paesi (prevalentemente in Europa e Medio Oriente) appartenenti a istituzioni governative, ambasciate, istituti di ricerca, organizzazioni militari e di intelligence e altro ancora.

La testa di ponte dei cracker dietro Epic Turla è rappresentata da due vulnerabilità di sicurezza di tipo zero day, una presente su Windows XP/2003 (CVE-2013-5065) e l’altra nel software Adobe Reader (CVE-2013-3346). Le falle sono state patchate da tempo, ma questo non ha evidentemente rappresentato un problema per l’azione dei cyber-spioni.

Una volta compromesso un PC, dice ancora Kaspersky, la gang di Epic Turla si guadagna i privilegi di accesso al sistema da amministratore e li sfrutta per installare un rootkit e “altri meccanismi di persistenza estrema”. A quel punto il danno è bello che fatto e gli ignoti spioni possono avere accesso completo alle macchine compromesse.

Operazione ancora in corso a luglio 2014, Epic Turla rappresenta l’ennesimo caso di cyber-spionaggio di alto profilo attribuito a organizzazioni russe; un’altra operazione recente riconducibile a questa categoria, Dragonfly , era indirizzata alla compromissione dei sistemi di controllo industriali (ICS) delle utility energetiche di Europa e Nordamerica.

Alfonso Maruccia