Epic zararlı yazılımının hedefleri şu kategorilere ayrılır: resmi kurumlar (İçişleri Bakanlığı, Ticaret Bakanlığı, Dışişleri Bakanlığı, istihbarat teşkilatları), elçilikler, ordu, araştırma ve eğitim kurumları ve ilaç şirketleri. Araştırmacılar virüslerin çoğu Orta Doğu ve Avrupa’ya bulaşmakla birlikte, Amerika dahil farklı bölgelerde de virüse rastlandığını açıklıyor. Kaspersky Lab uzmanları, Fransa’nın başını çektiği toplamda 45’ten fazla ülkede yüzlerce kurban IP’nin etkilendiğini gözlemlemiştir. Bu saldırılardan etkilenen ülkeler arasında Türkiye’de bulunuyor.
Kuşkulanmayan bir kullanıcı, güvenlik açıkları bulunan bir sistemde zararlı kod içeren bir PDF dosyasını açtığında makine otomatik olarak virüs kapıyor ve saldırganın hedef sistem üzerinde anında ve tam kontrol sağlamasına olanak tanıyor. Sistem ele geçirildiğinde saldırganlar, kurbandan bilgilerinin bir özetini alır ve buna dayanarak bir dizi yürütme komutu içeren önceden yapılandırılmış yama dosyaları yolluyor. Buna ek olarak saldırganlar, özel bir tuş kaydedici araç, bir RAR arşivcisi ve Microsoft DNS sorgu aracı gibi standart araçlar içeren özel yanal hareket araçlarını kullanıcının bilgisayarına yüklüyor.
Yapılan en son Kaspersky Lab araştırmasında Epic’in Turla virüs bulaştırma mekanizmasının ilk aşaması olduğu görülüyor. Snake veya Uroburos olarak da bilinen Turla, devam etmekte olan en karmaşık siber casusluk kampanyalarından biri. Turla, devam etmekte olan en karmaşık siber casusluk kampanyalarının başında geliyor. Epic zararlı yazılımı, Turla’nın virüs bulaştırmadaki ilk aşaması.
Saldırganların, bazı antivirüs ürünlerince Cobra/Carbon sistemi ve ayrıca Pfinet olarak da adlandırılan daha karmaşık arka kapılar yerleştirmek için Epic zararlı yazılımından faydalandıkları gözlemlenmişti. Bir süre sonra saldırganlar bunu daha da geliştirerek Carbon yapılandırmasını farklı bir komut-kontrol sunucuları seti ile güncellemek için Epic eklentisini kullandıkları tespit edildi.
2012 yılından beri kullanılmakta olan Epic projesinin en yüksek hacimli etkinliğe Ocak-Şubat 2014’te ulaştı. 5 Ağustos 2014 tarihinde, yani çok kısa süre önce Kaspersky Lab, kullanıcılarından birine bu saldırının gerçekleştirildiğini tespit etti.
Kaspersky Lab’ın araştırmacıları Epic Turla’nın kurbanlarına virüs bulaştırmak için sıfır günlük açıklardan yararlanan yazılımlar, sosyal mühendislik ve sulama kanalı tekniklerinden (kurbanların ilgilendiği konuları içeren, saldırganlar tarafından ele geçirilmiş ve zararlı kodlar yaymak üzere yerleştirilmiş web siteleri) faydalandığını keşfetti. Örneğin Kaspersky Lab, toplamda 100 adetten fazla yerleştirilmiş web sitesi (sulama kanalı) gözlemlemiş. Web sitesi seçimi saldırganların özel ilgi alanlarını yansıtıyor. Örneğin virüs taşıyan İspanyolca web sitelerinin çoğu yerel resmi kurumlara ait.
Kuşkulanmayan bir kullanıcı, güvenlik açıkları bulunan bir sistemde zararlı kod içeren bir PDF dosyasını açtığında makine otomatik olarak virüs kapıyor ve saldırganın hedef sistem üzerinde anında ve tam kontrol sağlamasına olanak tanıyor. Kullanıcı virüs kaptıktan sonra Epic arka kapısı derhal komut ve kontrol (C&C) sunucusuna bağlanarak kurbanın sistem bilgilerinin bulunduğu bir paket gönderiyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibi Başkanı: Carbon sistemi zararlı yazılımının yapılandırma güncellemeleri çok ilginç. Çünkü bu, Turla’nın bir diğer projesidir. Bu, Epic Turla ile başlayan çok aşamalı bir virüs ile uğraştığımız anlamına gelir. Epic Turla bir tutunma noktası elde etmek ve kurbanın profilini doğrulamak için kullanılıyor. Eğer kurban ilginç biriyse, tam Turla Carbon sistemine yükseltiliyor. Turla’nın arkasındaki saldırganların anadillerinin İngilizce olmadığı açık. Saldırganların uyruklarına ilişkin bazı ipuçları veren belirtiler bulunmakta. Örneğin arka kapıların bazıları Rusça kullanılan bir sistemde derlenmiş. Buna ek olarak Epic arka kapılarından birinin dahili adı olan Zagruzchik.dll dosyası, Rusça’da bootloader veya yükleme programı anlamına geliyor. Son olarak Epic ana kontrol panelinde kod sayfası, Kiril alfabesi için kullanılan 1251 olarak ayarlanmış.