Các nhà nghiên cứu của Kaspersky phát hiện, nhóm Turla đã nén mã độc JavaScript KopiLuwak vào tệp Topinambour, sau đó tạo hai phiên bản với ngôn ngữ khác nhau để thực hiện hành vi tấn công mạng. Vì nằm sẵn trong những phần mềm hợp pháp nên chúng đã qua mặt được các bước kiểm duyệt. Các chuyên gia tin rằng công cụ này được phát triển để giảm thiểu khả năng bị phát hiện và tăng độ chính xác khi tấn công mục tiêu.
Topinambour (tiếng Việt: cây Cúc vu, tiếng Anh gọi là Jerusalem artichoke hoặc atisô Jerusalem) được phát hiện trong một phi vụ chống lại Chính phủ vào đầu năm 2019. Đây là tên một dạng tệp mới trong hệ thống tệp .NET
Nhóm Turla sử dụng Topinambour để phát tán mã độc JavaScript KopiLuwak nhưng vẫn qua mặt được các bước kiểm duyệt nhờ ẩn vào gói cài đặt của những phần mềm hợp pháp như VPN.
KopiLuwak được Turla xây dựng để phục vụ hoạt động tấn công mạng và lây nhiễm mã độc mới nhất của nhóm tin tặc, bao gồm kỹ thuật để giúp mã độc không bị phát hiện. Ví dụ như cơ sở hạ tầng chỉ huy sẽ xuất hiện những IP bắt chước các địa chỉ LAN thường thấy. Ở giai đoạn lây nhiễm cuối cùng - lúc mã độc gần như vô hình, một Trojan được mã hóa để quản trị từ xa sẽ được nhúng vào hệ thống ghi danh của máy tính, từ đó mã độc sẽ sẵn sàng tấn công khi có cơ hội.
Hai mã độc tương tự KopiLuwak là .NET RocketMan Trojan và PowerShell MiamiBeach Trojan cũng được dùng để tấn công mạng. Các nhà nghiên cứu cho rằng các phiên bản này được tạo ra để phòng trường hợp phần mềm bảo mật phát hiện ra KopiLuwak. Sau khi được cài cắm thành công, cả ba phiên bản có thể tiến hành các hoạt động nguy hiểm như: thu thập dấu vân tay để nhận biết những máy tính đã bị nhiễm; thu thập thông tin về hệ thống và mạng; ăn cắp tập tin; tải xuống và triển khai phần mềm độc hại bổ sung; chụp ảnh màn hình...
Kurt Baumgartner, nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Vào năm 2019, Turla nổi lên nhờ bộ công cụ được cải tiến với một số tính năng có thể giảm thiểu sự phát hiện của các nhà nghiên cứu và giải pháp bảo mật. Bộ công cụ bao gồm tính năng hạn chế dấu chân điện tử (digital footprint) của mã độc và tạo ra hai phiên bản khác nhau của mã độc KopiLuwak. Việc lợi dụng các gói cài đặt VPN để qua mặt quy trình kiểm duyệt cho thấy kẻ tấn công đã xác định từ trước mục tiêu để thực hiện tấn công. Sự phát triển liên tục của Turla một lần nữa cho tầm quan trong của phần mềm bảo mật để chống lại những cuộc tấn công APT. Ví dụ, việc bảo vệ điểm cuối và kiểm tra tập tin sau khi tải xuống sẽ giúp chống lại các mối đe dọa như Topinambour”.
Kaspersky khuyến cáo các tổ chức, doanh nghiệp nên đào tạo nâng cao nhận thức bảo mật cho nhân viên về cách nhận biết và phòng tránh những ứng dụng hoặc tệp có khả năng gây hại. Ngoài ra, để phát hiện, điều tra và khắc phục kịp thời những đe dọa mạng điểm cuối, hãy triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response, hoặc giải pháp bảo mật giúp phát hiện các mối đe dọa tinh vi ở giai đoạn đầu, chẳng hạn như Kaspersky Anti Targeted Attack Platform.