Turla APT
يمثل Turla، المعروف أيضًا باسم Pensive Ursa وUroburos وSnake، تهديدًا متطورًا مستمرًا (APT) مصدره روسيا، وله تاريخ يعود إلى عام 2004 على الأقل وعلاقات مزعومة بجهاز الأمن الفيدرالي الروسي (FSB). تشتهر شركة Turla بالتطفلات المستهدفة وتكتيكات التخفي المتطورة، وقد اكتسبت سمعة باعتبارها خصمًا هائلاً ومراوغًا، حيث أظهرت براعة تقنية استثنائية في تنسيق الهجمات الإلكترونية السرية والخفية.
على مر السنين، قامت شركة Turla بتوسيع نطاق وصولها عبر أكثر من 45 دولة، وتغلغلت في مجموعة متنوعة من القطاعات مثل الوكالات الحكومية والبعثات الدبلوماسية والمؤسسات العسكرية، فضلاً عن المؤسسات التعليمية والبحثية والصيدلانية. بالإضافة إلى ذلك، تورطت المجموعة في أنشطة تتعلق بالصراع الروسي الأوكراني الذي اندلع في فبراير 2022، وفقًا لتقارير من فريق الاستجابة للطوارئ الحاسوبي الأوكراني، مما يشير إلى عمليات تجسس موجهة ضد المصالح الدفاعية الأوكرانية.
على الرغم من أن شركة Turla ركزت جهودها التجسسية في الغالب على الأنظمة التي تعمل بنظام Windows، إلا أنها أظهرت قدرات على استهداف منصات macOS وLinux. من خلال التطوير المتواصل، جمعت شركة Turla ترسانة هائلة من أدوات البرامج الضارة، بما في ذلك على سبيل المثال لا الحصر، Capibar وKazuar و Snake و Kopiluwak وQUIETCANARY/Tunnus و Crutch و ComRAT و Carbon و HyperStack و TinyTurla ، والتي تم استخدامها بنشاط في حملات تهديد مختلفة .
جدول المحتويات
تبدأ شركة Turla باستهداف أنظمة Linux
وبحلول عام 2014، كانت شركة Turla تعمل بالفعل في المشهد السيبراني لعدة سنوات، ومع ذلك ظلت طريقة إصابتها غامضة. سلطت الأبحاث التي أجريت في نفس العام الضوء على هجوم متطور متعدد المراحل أطلق عليه اسم Epic Turla، مما كشف النقاب عن استخدام Turla لعائلة البرامج الضارة Epic. استغلت هذه الحملة الثغرات الأمنية CVE-2013-5065 وCVE-2013-3346، مستفيدة من رسائل البريد الإلكتروني التصيدية المسلحة ببرامج استغلال Adobe PDF إلى جانب تقنيات الحفر التي تستخدم عمليات استغلال Java (CVE-2012-1723).
كان أحد الجوانب البارزة في هذه الحملة هو نشر شركة Turla للأبواب الخلفية المتقدمة مثل Carbon/Cobra، وأحيانًا استخدام كليهما كآلية لتجاوز الفشل.
كانت عمليات Turla السابقة تستهدف في الغالب أنظمة Windows، ولكن في أغسطس 2014، تغير المشهد مع دخول Turla إلى منطقة Linux لأول مرة. شهدت هذه المبادرة، المعروفة باسم Penguin Turla، استخدام المجموعة لوحدة Linux Turla التي تتميز ببرنامج C/C++ القابل للتنفيذ والمرتبط بشكل ثابت بمكتبات متعددة، مما أدى إلى زيادة كبيرة في حجم الملف لهذه العملية بالذات.
تقدم شركة Turla تهديدات جديدة للبرامج الضارة في عمليات الهجوم الخاصة بها
في عام 2016، استخدمت مجموعة تعرف باسم Waterbug، والتي يُزعم أنها كيان ترعاه الدولة، أشكالًا مختلفة من Trojan.Turla و Trojan.Wipbot لاستغلال ثغرة اليوم صفر، مستهدفة على وجه التحديد ثغرة تصعيد الامتيازات المحلية لـ Windows Kernel NDProxy.sys (CVE-2013). -5065). وفقًا لنتائج الأبحاث، استخدم المهاجمون رسائل بريد إلكتروني مصممة بدقة تحتوي على مرفقات غير آمنة إلى جانب شبكة من مواقع الويب المخترقة لتوصيل حمولاتهم الشائنة.
وفي العام التالي، اكتشف الباحثون تكرارًا متقدمًا لبرنامج Turla الضار، وهو باب خلفي من المرحلة الثانية يُعرف باسم Carbon. يتضمن بدء هجوم الكربون عادةً تلقي الضحية رسالة بريد إلكتروني للتصيد الاحتيالي أو العثور على موقع ويب مخترق، يُعرف بالعامية باسم حفرة الري.
وبعد ذلك، يتم تثبيت باب خلفي للمرحلة الأولى مثل Tavdig أو Skipper . عند الانتهاء من أنشطة الاستطلاع، يقوم إطار الكربون بتنسيق تركيب الباب الخلفي للمرحلة الثانية على الأنظمة الحيوية. يشتمل إطار العمل هذا على قطارة مسؤولة عن تثبيت ملف التكوين الخاص به، ومكون اتصال للتفاعل مع خادم القيادة والتحكم (C&C)، ومنسق لإدارة المهام والحركة الجانبية داخل الشبكة، ومحمل لتنفيذ المنسق.
باب Turla’s Kazuar الخلفي يدخل المشهد
في مايو 2017، ربط باحثو الأمن السيبراني فيروس طروادة الخلفي المكتشف حديثًا، Kazuar، بمجموعة Turla. تم تطويره باستخدام Microsoft .NET Framework، ويتميز Kazuar بمجموعات أوامر عالية الأداء قادرة على تحميل مكونات إضافية إضافية عن بعد.
يعمل Kazuar من خلال جمع معلومات عن أسماء ملفات النظام والبرامج الضارة، وإنشاء كائن المزامنة (mutex) لضمان التنفيذ الفردي وإضافة ملف LNK إلى مجلد بدء تشغيل Windows.
تُظهر مجموعات الأوامر داخل Kazuar تشابهًا مع تلك الموجودة في أحصنة طروادة الأخرى الموجودة في الباب الخلفي. على سبيل المثال، يستخدم أمر قائمة المهام استعلام Windows Management Instrumentation (WMI) لاسترداد العمليات قيد التشغيل من Windows، بينما يقوم أمر info بجمع البيانات على النوافذ المفتوحة. علاوة على ذلك، ينفذ أمر cmd الخاص بـ Kazuar الأوامر باستخدام cmd.exe لأنظمة Windows و/bin/bash لأنظمة Unix، مما يشير إلى تصميمه كبرنامج ضار عبر الأنظمة الأساسية يستهدف بيئات Windows وUnix.
كشفت المزيد من الأبحاث في أوائل عام 2021 عن أوجه تشابه ملحوظة بين أبواب Sunburst وKazuar الخلفية.
المزيد من حملات هجوم تورلا تجري في عام 2017
قدمت شركة Turla بابًا خلفيًا جديدًا من المرحلة الثانية يسمى Gazer، مشفرًا بلغة C++، مستفيدًا من هجمات Watering Hole وحملات التصيد الاحتيالي لاستهداف الضحايا بدقة.
بالإضافة إلى قدرات التخفي المحسنة، أظهر Gazer العديد من أوجه التشابه مع الأبواب الخلفية للمرحلة الثانية المستخدمة سابقًا مثل Carbon وKazuar. من السمات البارزة لهذه الحملة دمج الجمل "المتعلقة بألعاب الفيديو" داخل الكود. قامت شركة Turla بتأمين خادم القيادة والتحكم (C&C) الخاص بـ Gazer من خلال تشفيره باستخدام مكتبتها الخاصة لتشفير 3DES وRSA.
تقوم شركة Turla بدمج التهديدات والبنية التحتية من مجموعات الجرائم الإلكترونية الأخرى
وفي عام 2018، أشار تقرير استخباراتي إلى أن شركة Turla استخدمت أدوات ضارة تم تطويرها حديثًا، مثل Neuron و Nautilus ، جنبًا إلى جنب مع Snake Rootkit ، لاستهداف أجهزة Windows، مع التركيز بشكل خاص على خوادم البريد والويب. استخدمت Turla ضحايا Snake المخترقين للبحث عن أغلفة ASPX، وإرسال الأوامر عبر قيم ملفات تعريف الارتباط HTTP المشفرة. استفادت Turla من قذائف ASPX لإنشاء وصول أولي إلى الأنظمة المستهدفة لنشر أدوات إضافية.
مرة أخرى في عام 2018، وضعت شركة Turla أنظارها على المكاتب الخارجية للحكومات الأوروبية، بهدف اختراق معلومات حساسة للغاية من خلال باب خلفي. استهدفت هذه الحملة برنامج Microsoft Outlook وThe Bat!، وهو برنامج بريد يستخدم على نطاق واسع في أوروبا الشرقية، حيث يقوم بإعادة توجيه جميع رسائل البريد الإلكتروني الصادرة إلى المهاجمين. استخدم الباب الخلفي رسائل البريد الإلكتروني لاستخراج البيانات، واستخدم مستندات PDF مُعدة خصيصًا واستخدم رسائل البريد الإلكتروني كقناة لخادم القيادة والتحكم (C&C).
وفي عام 2019، استغل مشغلو شركة Turla البنية التحتية لـ OilRig، وهي مجموعة APT مرتبطة بإيران والمعروفة باستهداف الكيانات والمنظمات الحكومية في الشرق الأوسط، للقيام بعمليات الهجوم الخاصة بهم. تضمنت هذه الحملة نشر نسخة مخصصة معدلة بشكل كبير من أداة Mimikatz إلى جانب مجموعة جديدة من الأدوات التي تتميز بالعديد من الأبواب الخلفية الجديدة. في المراحل اللاحقة من الحملة، استخدمت مجموعة Turla بابًا خلفيًا مميزًا لاستدعاء الإجراءات عن بعد (RPC)، يتضمن تعليمات برمجية من أداة PowerShell Runner التي يمكن الوصول إليها بشكل عام لتنفيذ نصوص PowerShell دون الاعتماد على powershell.exe.
تم إطلاق تهديدات الباب الخلفي الجديدة طوال عام 2020
في مارس 2020، لاحظ محللون أمنيون أن شركة تورلا تستخدم هجمات حفر المياه لاستهداف العديد من المواقع الأرمنية. تم حقن مواقع الويب هذه بشفرة جافا سكريبت تالفة، على الرغم من أن طرق الوصول الدقيقة المستخدمة في الهجمات لم يتم الكشف عنها بعد.
بعد ذلك، قامت صفحات الويب المخترقة بتوزيع تعليمات برمجية JavaScript مخترقة للمرحلة الثانية لتحديد المتصفحات الضحية وإقناعهم بتثبيت برنامج تثبيت Flash سيئ. استفادت شركة Turla بعد ذلك من NetFlash ، وهو برنامج تنزيل .NET، و PyFlash لنشر البرامج الضارة الثانوية.
وبعد بضعة أشهر، استخدمت شركة Turla برنامج ComRAT v4 ، المعروف باسم Agent.BTZ، باعتباره حصان طروادة للوصول عن بعد (RAT). تتميز هذه البرامج الضارة، التي تم تصميمها باستخدام C++، بنظام ملفات FAT16 افتراضي يستخدم بشكل متكرر لتصفية المستندات الحساسة. ويتم نشره من خلال طرق الوصول المحددة مثل الباب الخلفي لـ PowerStallion PowerShell أثناء استخدام HTTP والبريد الإلكتروني كقنوات للأوامر والتحكم (C&C).
قرب نهاية عام 2020، عثر خبراء الأمن السيبراني على باب خلفي غير موثق ومستخرج مستندات يُدعى Crutch ، منسوب إلى مجموعة Turla. تضمنت الإصدارات السابقة من Crutch بابًا خلفيًا للتواصل مع حساب Dropbox محدد مسبقًا عبر واجهة برمجة تطبيقات HTTP الرسمية.
يمتلك هذا الباب الخلفي إمكانات لتنفيذ الأوامر المتعلقة بمعالجة الملفات وتنفيذ العمليات وتحقيق الاستمرارية من خلال اختطاف DLL على Google Chrome أو Mozilla Firefox أو Microsoft OneDrive. والجدير بالذكر أن Crutch v4 يتميز بميزة تلقائية لتحميل ملفات محرك الأقراص المحلية والقابلة للإزالة إلى مساحة تخزين Dropbox، والتي يتم تسهيلها بواسطة إصدار Windows من الأداة المساعدة Wget، على عكس التكرارات السابقة التي تعتمد على أوامر الباب الخلفي.
تطلق مجموعة Turla APT العنان للبرمجيات الضارة TinyTurla وتبدأ في استهداف الأصول في أوكرانيا
تم لفت الانتباه إلى ظهور الباب الخلفي TinyTurla في عام 2021. ومن المحتمل أن يكون هذا التهديد بمثابة خطة طوارئ، مما يتيح الوصول المستمر إلى الأنظمة حتى في حالة إزالة البرامج الضارة الأولية. يتم تسهيل تثبيت هذا الباب الخلفي من خلال ملف دفعي ويظهر كخدمة DLL تسمى w64time.dll، تهدف إلى محاكاة ملف w32time.dll الشرعي على أنظمة Windows الأساسية.
وفي خضم الغزو الروسي لأوكرانيا، أعادت Turla APT توجيه تركيزها نحو أهداف تتماشى مع مصالح روسيا في الصراع. كشف إعلان صادر عن فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) في يوليو 2023 عن استخدام Turla لبرنامج Capibar الضار والباب الخلفي Kazuar لأنشطة التجسس التي تستهدف أصول الدفاع الأوكرانية. في هذه العملية، تم توظيف كابيبار لجمع المعلومات الاستخبارية بينما تخصص كازور في سرقة بيانات الاعتماد. استهدف الهجوم في المقام الأول الكيانات الدبلوماسية والعسكرية من خلال حملات التصيد الاحتيالي.
ظهور TinyTurla-NG وPelmeni Wrapper
وفي نهاية عام 2023، لوحظ أن ممثل التهديد Turla يستخدم بابًا خلفيًا جديدًا يسمى TinyTurla-NG في حملة امتدت لثلاثة أشهر. واستهدفت العملية الهجومية على وجه التحديد المنظمات غير الحكومية في بولندا. على غرار سابقتها، تعمل TinyTurla-NG كباب خلفي صغير الحجم "الملاذ الأخير". يتم نشره بشكل استراتيجي ليظل خاملاً حتى يتم فشل أو اكتشاف جميع آليات الوصول غير المصرح بها أو آليات الباب الخلفي على الأنظمة المخترقة.
في فبراير 2024، اكتشف محللو الأمن السيبراني حملة Turla جديدة تعرض استراتيجيات مبتكرة ونسخة معدلة من Kazuar Trojan. في عملية الهجوم هذه، تم توزيع تهديد Kazuar على الضحايا المستهدفين من خلال غلاف غير موثق سابقًا يسمى Pelmeni .
لا تزال Turla APT تمثل تهديدًا إلكترونيًا كبيرًا على الرغم من سنوات من عمليات الهجوم التفصيلية
تقف مجموعة Turla كخصم مستمر ودائم، وتفتخر بسجل طويل من الأنشطة. تشير أصولهم وتكتيكاتهم واختيارهم للأهداف إلى عملية جيدة الموارد يقودها عملاء ماهرون. على مر السنين، قامت شركة Turla باستمرار بتعزيز أدواتها ومنهجياتها، مما يشير إلى الالتزام بالتحسين المستمر.
ويؤكد التهديد الذي تشكله مجموعات مثل تورلا على ضرورة التزام المنظمات والحكومات باليقظة. ويستلزم ذلك مواكبة التطورات وتبادل المعلومات الاستخبارية وتنفيذ تدابير أمنية قوية. ومثل هذه الخطوات الاستباقية تمكن المجموعات والأفراد من تعزيز دفاعاتهم ضد التهديدات التي تشكلها هذه الجهات الفاعلة.
