Turla APT
Turla, kas pazīstama arī kā Pensive Ursa, Uroburos un Snake, pārstāv izsmalcinātu progresīvu pastāvīgu draudu (APT), kura izcelsme ir Krievijā un kura vēsture aizsākās vismaz 2004. gadā un ir saistīta ar Krievijas Federālo drošības dienestu (FSB). Turla, kas ir slavena ar saviem mērķtiecīgiem ielaušanās gadījumiem un progresīvām slepenības taktikām, ir izpelnījusies brīnišķīga un nenotverama pretinieka reputāciju, demonstrējot izcilas tehniskās spējas slēptu un slēptu kiberuzbrukumu organizēšanā.
Gadu gaitā Turla ir paplašinājusi savu darbību vairāk nekā 45 valstīs, iefiltrējoties dažādās nozarēs, piemēram, valdības aģentūrās, diplomātiskajās pārstāvniecībās, militārajās iestādēs, kā arī izglītības, pētniecības un farmācijas iestādēs. Turklāt grupējums ir iesaistīts darbībās, kas saistītas ar Krievijas un Ukrainas konfliktu, kas izcēlās 2022. gada februārī, saskaņā ar Ukrainas CERT ziņojumiem, kas liecina par spiegošanas operācijām, kas vērstas uz Ukrainas aizsardzības interesēm.
Lai gan Turla savus spiegošanas centienus galvenokārt koncentrēja uz Windows balstītām sistēmām, tā ir pierādījusi spējas mērķēt uz macOS un Linux platformām. Ar nepārtrauktu attīstību Turla ir uzkrājis milzīgu ļaunprātīgas programmatūras rīku arsenālu, tostarp, bet ne tikai Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon un HyperStack un TinyTurla , kas ir aktīvi izmantoti dažādās draudu kampaņās. .
Satura rādītājs
Turla sāk mērķēt uz Linux sistēmām
Līdz 2014. gadam Turla jau vairākus gadus darbojās kiberainavā, tomēr tās inficēšanās veids palika noslēpums. Tajā pašā gadā veiktie pētījumi atklāja sarežģītu daudzpakāpju uzbrukumu ar nosaukumu Epic Turla, atklājot, kā Turla izmanto Epic ļaunprogrammatūru saimi. Šajā kampaņā tika izmantotas ievainojamības CVE-2013-5065 un CVE-2013-3346, izmantojot spear-phishing e-pastus, kas bruņoti ar Adobe PDF uzbrukumiem, kā arī paņēmieniem, kas izmanto Java izmantošanu (CVE-2012-1723).
Ievērojams šīs kampaņas aspekts bija Turla uzlaboto aizmugures durvju, piemēram, Carbon/Cobra, izvietošana, reizēm izmantojot abus kā kļūmjpārlēces mehānismu.
Iepriekšējās Turla darbības galvenokārt bija vērstas uz Windows sistēmām, taču 2014. gada augustā ainava mainījās, jo Turla pirmo reizi iesaistījās Linux teritorijā. Šī iniciatīva, kas pazīstama kā Penguin Turla, paredzēja, ka grupa izmantoja Linux Turla moduli ar C/C++ izpildāmo failu, kas ir statiski saistīts ar vairākām bibliotēkām, ievērojami palielinot faila lielumu šai konkrētajai darbībai.
Turla savās uzbrukuma darbībās ievieš jaunus ļaunprātīgas programmatūras draudus
2016. gadā grupa, kas pazīstama kā Waterbug un kas, domājams, ir valsts sponsorēta organizācija, izmantoja Trojan.Turla un Trojan.Wipbot variantus, lai izmantotu nulles dienas ievainojamību, īpaši mērķējot uz Windows kodola NDProxy.sys vietējo privilēģiju eskalācijas ievainojamību (CVE-2013). -5065). Saskaņā ar pētījumu rezultātiem, uzbrucēji izmantoja rūpīgi izstrādātus e-pasta ziņojumus, kuros bija nedroši pielikumi, kā arī uzbrucēju vietņu tīklu, lai piegādātu savu negodīgo slodzi.
Nākamajā gadā pētnieki atklāja Turla ļaunprātīgas programmatūras uzlabotu iterāciju — otrās pakāpes aizmugures durvis, kas identificētas kā Carbon. Oglekļa uzbrukuma uzsākšana parasti ir saistīta ar to, ka upuris saņem pikšķerēšanas e-pasta ziņojumu vai uzklūp apdraudētai vietnei, ko sarunvalodā dēvē par ūdenstilpni.
Pēc tam tiek uzstādītas pirmās pakāpes aizmugures durvis, piemēram, Tavdig vai Skipper . Pēc izlūkošanas darbību pabeigšanas Carbon framework organizē otrās pakāpes aizmugures durvju uzstādīšanu kritiskajām sistēmām. Šajā ietvarā ietilpst pilinātājs, kas atbild par tā konfigurācijas faila instalēšanu, komunikācijas komponents, lai mijiedarbotos ar Command and Control (C&C) serveri, orķestris uzdevumu un sānu kustības pārvaldībai tīklā un ielādētājs orķestra izpildei.
Turlas Kazuāra aizmugurējās durvis ienāk uz skatuves
2017. gada maijā kiberdrošības pētnieki saistīja jaunatklāto Trojas zirgu Kazuar ar Turla grupu. Kazuar, kas izstrādāts, izmantojot Microsoft .NET Framework, lepojas ar ļoti funkcionālām komandu kopām, kas spēj attālināti ielādēt papildu spraudņus.
Kazuar darbojas, apkopojot informāciju par sistēmas un ļaunprātīgas programmatūras faila nosaukumu, izveidojot mutex, lai nodrošinātu vienreizēju izpildi, un pievienojot LNK failu Windows startēšanas mapei.
Kazuar komandu kopām ir līdzības ar tām, kas atrodamas citos aizmugures Trojas zirgos. Piemēram, komanda Tasklist izmanto Windows pārvaldības instrumentācijas (WMI) vaicājumu, lai izgūtu darbojošos procesus no Windows, savukārt komanda info apkopo datus par atvērtiem logiem. Turklāt Kazuar komanda cmd izpilda komandas, izmantojot cmd.exe Windows sistēmām un /bin/bash Unix sistēmām, norādot, ka tā ir vairāku platformu ļaunprātīga programmatūra, kas paredzēta gan Windows, gan Unix vidēm.
Turpmākie pētījumi 2021. gada sākumā atklāja ievērojamas paralēles starp Sunburst un Kazuar aizmugures durvīm.
Vairāk Turlas uzbrukuma kampaņu, kas notiek 2017. gadā
Turla ieviesa jaunu otrās pakāpes aizmugures durvis ar nosaukumu Gazer, kas kodēta C++ valodā, izmantojot uzbrukuma caurumu uzbrukumus un pikšķerēšanas kampaņas, lai precīzi mērķētu uz upuriem.
Papildus uzlabotajām slepenajām iespējām, Gazer uzrādīja daudzas līdzības ar iepriekš izmantotajām otrās pakāpes aizmugures durvīm, piemēram, Carbon un Kazuar. Ievērojama šīs kampaņas iezīme bija ar videospēlēm saistītu teikumu integrēšana kodā. Turla nodrošināja Gazer's Command and Control (C&C) serveri, šifrējot to ar savu patentēto bibliotēku 3DES un RSA šifrēšanai.
Turla ietver draudus un infrastruktūru no citām kibernoziedzības grupām
2018. gadā izlūkošanas ziņojumā norādīts, ka Turla kopā ar Snake Rootkit izmantoja jaunizveidotos kaitīgos rīkus Neuron un Nautilus , lai mērķētu uz Windows iekārtām, īpašu uzmanību pievēršot pasta un tīmekļa serveriem. Turla izmantoja apdraudētos Snake upurus, lai meklētu ASPX čaulas, pārsūtot komandas, izmantojot šifrētas HTTP sīkfailu vērtības. Turla izmantoja ASPX apvalkus, lai izveidotu sākotnējo piekļuvi mērķa sistēmām papildu rīku izvietošanai.
2018. gadā Turla atkal pievērsa uzmanību Eiropas valdību ārzemju birojiem, cenšoties caur aizmugures durvīm iefiltrēties ļoti sensitīvā informācijā. Šīs kampaņas mērķauditorija bija Microsoft Outlook un Austrumeiropā plaši izmantotais pasta klients The Bat!, kas visus izejošos e-pastus novirzīja uzbrucējiem. Aizmugures durvis izmantoja e-pasta ziņojumus, lai iegūtu datus, izmantojot īpaši izstrādātus PDF dokumentus un izmantojot e-pasta ziņojumus kā vadības un kontroles (C&C) servera kanālu.
2019. gadā Turla operatori izmantoja OilRig — ar Irānu saistītās APT grupas infrastruktūru, kas pazīstama ar mērķi vērsties pret valdības struktūrām un organizācijām Tuvajos Austrumos, lai veiktu savas uzbrukuma operācijas. Šī kampaņa ietvēra Mimikatz rīka stipri pārveidota, pielāgota varianta izvietošanu līdzās jaunam rīku klāstam, kas ietver vairākas jaunas aizmugures durvis. Kampaņas vēlākajos posmos Turla grupa izmantoja atsevišķu attālās procedūras izsaukuma (RPC) aizmugures durvis, iekļaujot kodu no publiski pieejamā PowerShell Runner rīka, lai izpildītu PowerShell skriptus, nepaļaujoties uz powershell.exe.
Visā 2020. gadā tika publicēti jauni Backdoor draudi
2020. gada martā drošības analītiķi novēroja, ka Turla izmantoja uzbrukumus daudzām Armēnijas vietnēm. Šajās vietnēs tika ievadīts bojāts JavaScript kods, lai gan precīzas uzbrukumos izmantotās piekļuves metodes joprojām netiek atklātas.
Pēc tam uzlauztās tīmekļa lapas izplatīja otrās pakāpes apdraudētu JavaScript kodu, lai identificētu cietušās pārlūkprogrammas un mudinātu tos instalēt sliktu Flash instalēšanas programmu. Pēc tam Turla izmantoja NetFlash , .NET lejupielādētāju un PyFlash sekundārajai ļaunprātīgas programmatūras izvietošanai.
Dažus mēnešus vēlāk Turla izmantoja ComRAT v4 alias Agent.BTZ kā attālās piekļuves Trojas zirgu (RAT). Šai ļaunprogrammatūrai, kas izstrādāta, izmantojot C++, ir virtuāla FAT16 failu sistēma, ko bieži izmanto sensitīvu dokumentu izfiltrēšanai. Tas tiek izplatīts, izmantojot noteiktus piekļuves ceļus, piemēram, PowerStallion PowerShell aizmugures durvis, vienlaikus izmantojot HTTP un e-pastu kā komandu un vadības (C&C) kanālus.
Tuvojoties 2020. gada beigām, kiberdrošības eksperti nejauši uzgāja nedokumentētu aizmugures durvju un dokumentu izvilcēja nosaukumu Crutch , kas tika attiecināts uz Turla grupu. Iepriekšējās Crutch versijās bija aizmugures durvis, kas sazinājās ar iepriekš noteiktu Dropbox kontu, izmantojot oficiālo HTTP API.
Šīm aizmugures durvīm bija iespējas izpildīt komandas, kas saistītas ar failu manipulācijām, procesu izpildi un noturības nodrošināšanu, izmantojot DLL nolaupīšanu pārlūkprogrammās Google Chrome, Mozilla Firefox vai Microsoft OneDrive. Proti, Crutch v4 lepojas ar automatizētu funkciju, lai augšupielādētu lokālos un noņemamos disku failus Dropbox krātuvē, ko veicina Wget utilīta Windows versija, atšķirībā no iepriekšējām iterācijām, kas ir atkarīgas no aizmugures durvīm.
Turla APT grupa atbrīvo TinyTurla ļaunprogrammatūru un sāk mērķēt aktīvus Ukrainā
TinyTurla aizmugures durvju parādīšanās tika pievērsta uzmanība 2021. gadā. Šie draudi, iespējams, kalpo kā ārkārtas rīcības plāns, kas nodrošina ilgstošu piekļuvi sistēmām pat primārās ļaunprātīgas programmatūras noņemšanas gadījumā. Šo aizmugures durvju instalēšanu atvieglo pakešfails, un tas izpaužas kā pakalpojuma DLL ar nosaukumu w64time.dll, kura mērķis ir atdarināt likumīgo w32time.dll failu Windows platformās.
Laikā, kad Krievija iebruka Ukrainā, Turla APT pārorientēja savu uzmanību uz mērķiem, kas ir saskaņoti ar Krievijas interesēm konfliktā. Ukrainas Datoravārijas reaģēšanas komandas (CERT-UA) paziņojumā 2023. gada jūlijā tika atklāts, ka Turla ir izmantojusi ļaunprātīgu programmatūru Capibar un Kazuar aizmugures durvis spiegošanas darbībām, kuru mērķis ir Ukrainas aizsardzības līdzekļi. Šajā operācijā Kapibars tika nodarbināts izlūkdatu vākšanai, kamēr Kazuārs specializējās akreditācijas datu zādzībās. Uzbrukums galvenokārt bija vērsts pret diplomātiskām un militārām struktūrām, izmantojot pikšķerēšanas kampaņas.
TinyTurla-NG un Pelmeni Wrapper parādīšanās
2023. gada beigās tika novērots, ka Turla draudu aktieris trīs mēnešus ilgā kampaņā izmantoja jaunas aizmugures durvis ar nosaukumu TinyTurla-NG. Uzbrukuma operācija bija īpaši vērsta pret nevalstiskajām organizācijām Polijā. Līdzīgi kā tā priekšgājējs, TinyTurla-NG darbojas kā kompakta "pēdējā iespēja" aizmugures durvis. Tas ir stratēģiski izvietots, lai paliktu neaktīvs, līdz visi citi nesankcionēti piekļuves vai aizmugures mehānismi apdraudētajās sistēmās ir neveiksmīgi vai atklāti.
2024. gada februārī kiberdrošības analītiķi atklāja jaunu Turla kampaņu, kurā tika demonstrētas novatoriskas stratēģijas un modificēts Kazuar Trojas zirga variants. Šajā konkrētajā uzbrukuma operācijā Kazuar draudi tika izplatīti mērķa upuriem, izmantojot iepriekš nedokumentētu iesaiņojumu ar nosaukumu Pelmeni .
Turla APT joprojām ir nopietns kiberdrauds, neskatoties uz gadiem ilgajām detalizētajām uzbrukuma operācijām
Grupa Turla ir neatlaidīgs un ilgstošs pretinieks, kas lepojas ar ilgstošām aktivitātēm. Viņu izcelsme, taktika un mērķu izvēle liecina par labi resursiem apgādātu operāciju, ko vada prasmīgi darbinieki. Gadu gaitā Turla ir konsekventi uzlabojusi savus rīkus un metodoloģijas, norādot uz apņemšanos nepārtraukti uzlabot.
Tādu grupu kā Turla radītie draudi uzsver, ka organizācijām un valdībām ir jāsaglabā modrība. Tas nozīmē sekot līdzi notikumiem, apmainīties ar izlūkdatiem un īstenot spēcīgus drošības pasākumus. Šādi proaktīvi pasākumi ļauj gan grupām, gan indivīdiem stiprināt savu aizsardzību pret draudiem, ko rada šādi dalībnieki.
