Turla Backdoor
Turla APT (Advanced Persistent Threat) е скандална руска хакерска група, която работи вече повече от десетилетие. Те се наричат още Uroburos APT или Snake APT. Те са известни с това, че имат вкус към жертви от висок клас. Съобщава се, че APT на Turla е проникнал във Федералния колеж по публична администрация на Германия и след това чрез него е успял да компрометира Федералното външно министерство на страната. Освен това това не беше еднократно проникване; беше разкрито, че Turla APT преминава под радара на германските власти за почти цялата 2017 г. През това време хакерската група сифон и събира правителствени данни. Тази впечатляваща операция е извършена с инструмент на APT, наречен Turla Backdoor.
Три европейски държави съобщават за нападения от тази руска хакерска група. Мишените отново бяха техните чуждестранни офиси. Безопасно е да се предположи, че APT на Turla е силно замесен в шпионаж, тъй като техните основни цели винаги са били дипломати, военни и държавни органи и политици. Предполага се, че APT на Turla може да е свързано с руското правителство, но тази информация тепърва ще бъде потвърдена.
Смята се, че задната врата на Turla APT произхожда още през 2009 г. Въпреки това хакерската група не е бездействала през годините и е въвела много подобрения в задната си врата, като например способността на заплахата да получава команди чрез PDF файл, прикачен към имейл , който беше представен през 2016 г. През 2018 г. бе добавена нова функция към задната врата на Turla APT - тя беше надстроена с възможността да изпълнява команди PowerShell на заразения хост.
Последната версия на тази задна врата е оборудвана с възможност за проникване в Microsoft Outlook. Интересното е, че Turla APT не използва уязвимост в приложението, а вместо това манипулира легитимния MAPI (интерфейс за програмиране на приложения за съобщения) на Microsoft Outlook и чрез него получава достъп до директните съобщения на предвидените им цели. За разлика от повечето задни врати, които обикновено получават команди чрез сървър за управление и управление на извършителите, Turla Backdoor се управлява чрез специално създадени имейли благодарение на подобрението, което Turla APT въведе през 2016 г. Turla Backdoor може да изпълнява много команди, сред които събират данни и изтеглят и изпълняват различни файлове. Тази задна врата не е твърде придирчива, когато става въпрос за мястото, където е засадена - Turla Backdoor е под формата на DLL модул (библиотека с динамична връзка) и може да работи от всяка точка на твърдия диск. Освен това APL на Turla използва помощна програма за Windows (RegSvr32.exe), за да инсталира задната врата на целевата система.
Разбира се, като всяка високоефективна заплаха от този калибър, задната врата Turla също е оборудвана с голяма упоритост. За да сведе до минимум шансовете да бъде открит, задната врата Turla няма да изпълнява своите „задължения“ през цялото време. Вместо това той използва добре известна уязвимост на Windows по отношение на обектния модел на компонента (COM.) Чрез използване на тази уязвимост, задната врата може да инжектира своите екземпляри в легитимния процес „outlook.exe“, като по този начин елиминира необходимостта от използване на DLL инжектиране-вектор на атака, който антивирусните продукти откриват с лекота.
Прониквайки в Microsoft Outlook, Turla Backdoor може да събира метаданните за съобщенията на жертвата - темата на имейла, името на прикачения файл, изпращачите и получателите. Тези данни се събират и съхраняват от задната врата на Turla и периодично се прехвърлят на сървърите на нападателя. Заплаха като Turla Backdoor може да причини много щети, особено ако нападателите успеят да заразят система, използвана за съхраняване на чувствителни данни или комуникация и е очевидно, че Turla APT е насочена именно към тези потребители.
Освен кражба на данни, зловредният софтуер може да бъде командиран да изтегля допълнителни файлове или да изпълнява повредени скриптове PowerShell. В заключение, Turla Backdoor е заплаха, която се доближава до руткит по своята функционалност.
