Turla APT

Turla, известен също като Pensive Ursa, Uroburos и Snake, представлява сложна Advanced Persistent Threat (APT), произхождаща от Русия, с история, датираща най-малко от 2004 г. и предполагаеми връзки с руската Федерална служба за сигурност (FSB). Известен със своите целенасочени прониквания и авангардни стелт тактики, Turla си спечели репутацията на страхотен и неуловим противник, показвайки изключителна техническа мощ в организирането на тайни и скрити кибер атаки.

През годините Turla разшири обхвата си в повече от 45 страни, прониквайки в разнообразен набор от сектори като правителствени агенции, дипломатически мисии, военни учреждения, както и образователни, изследователски и фармацевтични институции. Освен това групата е замесена в дейности, свързани с руско-украинския конфликт, който избухна през февруари 2022 г., според доклади от Украйна CERT, показващи шпионски операции, насочени срещу интересите на украинската отбрана.

Въпреки че Turla фокусира усилията си за шпионаж предимно върху базирани на Windows системи, тя демонстрира способности за насочване към macOS и Linux платформи. Чрез безмилостно развитие Turla натрупа страхотен арсенал от инструменти за зловреден софтуер, включително, но не само, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon и HyperStack и TinyTurla , които са били активно използвани в различни заплашителни кампании .

Turla започва да се насочва към Linux системи

До 2014 г. Turla вече работи в киберпространството от няколко години, но методът на заразяването му остава загадка. Изследване, проведено през същата година, хвърли светлина върху сложна многоетапна атака, наречена Epic Turla, разкривайки използването на фамилията зловреден софтуер Epic от Turla. Тази кампания експлоатира уязвимостите CVE-2013-5065 и CVE-2013-3346, използвайки фишинг имейли, въоръжени с експлойти на Adobe PDF, заедно с техники за промиване, използващи експлойти на Java (CVE-2012-1723).

Забележителен аспект на тази кампания беше внедряването от Turla на усъвършенствани задни врати като Carbon/Cobra, като от време на време използваше и двете като механизъм за преодоляване.

Предишните операции на Turla бяха насочени предимно към Windows системи, но през август 2014 г. пейзажът се промени, когато Turla навлезе на територията на Linux за първи път. Известна като Penguin Turla, тази инициатива видя групата да използва модул Linux Turla, включващ C/C++ изпълним файл, статично свързан с множество библиотеки, значително увеличавайки размера на файла за тази конкретна операция.

Turla въвежда нови заплахи за злонамерен софтуер в своите операции за атаки

През 2016 г. група, известна като Waterbug, за която се твърди, че е спонсорирана от държавата, използва варианти на Trojan.Turla и Trojan.Wipbot , за да използва уязвимост от нулев ден, конкретно насочена към локалната уязвимост при ескалиране на привилегии на ядрото на Windows NDProxy.sys (CVE-2013 -5065). Според констатациите на изследването, нападателите са използвали щателно изработени имейли, съдържащи опасни прикачени файлове, заедно с мрежа от компрометирани уебсайтове, за да доставят своите престъпни полезни товари.

На следващата година изследователите откриха усъвършенствана итерация на зловреден софтуер Turla – задна врата от втори етап, идентифицирана като Carbon. Инициирането на въглеродна атака обикновено включва жертвата или да получи фишинг имейл, или да се натъкне на компрометиран уебсайт, разговорно известен като водопад.

Впоследствие се инсталира заден ход на първи етап като Tavdig или Skipper . След завършване на разузнавателните дейности, рамката Carbon организира инсталирането на своята задна врата от втори етап на критични системи. Тази рамка включва капкомер, отговорен за инсталирането на неговия конфигурационен файл, комуникационен компонент за взаимодействие със сървъра за командване и контрол (C&C), оркестратор за управление на задачи и странично движение в мрежата и зареждащ инструмент за изпълнение на оркестратора.

Задната врата Kazuar на Turla излиза на сцената

През май 2017 г. изследователи по киберсигурност свързаха новооткрит заден троянски кон Kazuar с групата Turla. Разработен с помощта на Microsoft .NET Framework, Kazuar може да се похвали с изключително функционални набори от команди, способни на дистанционно зареждане на допълнителни плъгини.

Kazuar работи чрез събиране на информация за името на системния и зловреден софтуер файл, установяване на mutex, за да се осигури еднократно изпълнение и добавяне на LNK файл към папката за стартиране на Windows.

Наборите от команди в Kazuar показват прилики с тези, открити в други задни троянски коне. Например командата tasklist използва заявка за Windows Management Instrumentation (WMI), за да извлече работещи процеси от Windows, докато командата info събира данни за отворени прозорци. Освен това командата cmd на Kazuar изпълнява команди, използвайки cmd.exe за Windows системи и /bin/bash за Unix системи, което показва нейния дизайн като крос-платформен злонамерен софтуер, насочен както към Windows, така и към Unix среди.

Допълнителни изследвания в началото на 2021 г. разкриха забележителни паралели между задните врати Sunburst и Kazuar.

През 2017 г. се провеждат още кампании за атака на Turla

Turla представи нова задна вратичка от втори етап, наречена Gazer, кодирана на C++, използвайки атаки с водни дупки и кампании за фишинг, за да се насочат точно към жертвите.

В допълнение към своите подобрени способности за стелт, Gazer показа множество прилики с използваните преди това задни врати от втори етап като Carbon и Kazuar. Забележителна характеристика на тази кампания беше интегрирането на „свързани с видеоигри“ изречения в кода. Turla защити сървъра за командване и контрол (C&C) на Gazer, като го криптира със своята собствена библиотека за 3DES и RSA криптиране.

Turla включва заплахи и инфраструктура от други киберпрестъпни групи

През 2018 г. доклад на разузнаване посочи, че Turla е използвала новоразработени вредни инструменти, Neuron и Nautilus , заедно с Snake Rootkit , за да се насочи към Windows машини, с особен фокус върху пощата и уеб сървърите. Turla използва компрометирани жертви на Snake, за да сканира за ASPX обвивки, предавайки команди чрез криптирани стойности на HTTP бисквитки. Turla използва обвивки на ASPX, за да установи първоначален достъп до целеви системи за внедряване на допълнителни инструменти.

Още веднъж през 2018 г. Turla се прицели в чуждестранните офиси на европейските правителства, като се стремеше да проникне в изключително чувствителна информация чрез задна врата. Тази кампания беше насочена към Microsoft Outlook и The Bat!, широко използван пощенски клиент в Източна Европа, пренасочващ всички изходящи имейли към нападателите. Задната вратичка използва имейл съобщения за извличане на данни, използвайки специално изработени PDF документи и използвайки имейл съобщения като проводник за своя сървър за командване и контрол (C&C).

През 2019 г. операторите на Turla използваха инфраструктурата на OilRig, APT група, свързана с Иран, известна с набелязването на правителствени субекти и организации в Близкия изток, за провеждане на свои собствени операции за атака. Тази кампания включва внедряването на силно модифициран персонализиран вариант на инструмента Mimikatz заедно с нов набор от инструменти, включващи няколко нови задни вратички. В по-късните фази на кампанията групата Turla използва отделна задна вратичка за извикване на отдалечени процедури (RPC), включваща код от публично достъпния инструмент PowerShell Runner за изпълнение на PowerShell скриптове, без да разчита на powershell.exe.

Нови заплахи за задната вратичка, публикувани през 2020 г

През март 2020 г. анализатори по сигурността забелязаха Turla да използва атаки, за да атакува множество арменски уебсайтове. Тези уебсайтове бяха инжектирани с повреден JavaScript код, въпреки че точните методи за достъп, използвани при атаките, остават неразкрити.

Впоследствие компрометираните уеб страници разпространиха втори етап на компрометиран JavaScript код, за да идентифицират браузърите жертви и да ги принудят да инсталират лош инсталатор на Flash. След това Turla използва NetFlash , програма за изтегляне на .NET, и PyFlash за вторичното внедряване на зловреден софтуер.

Няколко месеца по-късно Turla използва ComRAT v4 , псевдоним Agent.BTZ, като троянски кон за отдалечен достъп (RAT). Този злонамерен софтуер, създаден с помощта на C++, разполага с виртуална файлова система FAT16, която често се използва за ексфилтриране на чувствителни документи. Разпространява се чрез установени маршрути за достъп, като задната вратичка на PowerStallion PowerShell, като същевременно се използват HTTP и имейл като командни и контролни (C&C) канали.

Към края на 2020 г. експерти по киберсигурност се натъкнаха на недокументирана задна вратичка и инструмент за извличане на документи на име Crutch , приписван на групата Turla. По-ранните версии на Crutch включваха задна врата, комуникираща с предварително определен Dropbox акаунт чрез официалния HTTP API.

Тази задна вратичка притежаваше възможности за изпълнение на команди, свързани с манипулиране на файлове, изпълнение на процеси и установяване на устойчивост чрез отвличане на DLL в Google Chrome, Mozilla Firefox или Microsoft OneDrive. По-специално, Crutch v4 може да се похвали с автоматизирана функция за качване на локални и преносими дискови файлове в хранилището на Dropbox, улеснено от Windows версията на помощната програма Wget, за разлика от предишните итерации, разчитащи на задните команди.

Turla APT Group пуска зловредния софтуер TinyTurla и започва да се насочва към активи в Украйна

Появата на задната вратичка TinyTurla привлече вниманието през 2021 г. Тази заплаха вероятно служи като план за действие при извънредни ситуации, позволяващ устойчив достъп до системите дори в случай на първично премахване на зловреден софтуер. Инсталирането на тази задна вратичка се улеснява чрез пакетен файл и се проявява като услуга DLL с име w64time.dll, целяща да имитира легитимния файл w32time.dll на Windows платформи.

На фона на руското нахлуване в Украйна Turla APT пренасочи фокуса си към цели, съобразени с интересите на Русия в конфликта. Съобщение от Екипа за компютърно реагиране при извънредни ситуации на Украйна (CERT-UA) през юли 2023 г. разкри използването от Turla на зловреден софтуер Capibar и задната врата на Kazuar за шпионски дейности, насочени към украински отбранителни активи. В тази операция Капибар е нает за събиране на разузнавателна информация, докато Казуар се е специализирал в кражба на идентификационни данни. Атаката беше насочена предимно към дипломатически и военни лица чрез фишинг кампании.

Появата на TinyTurla-NG и Pelmeni Wrapper

Към края на 2023 г. заплахата от Turla беше наблюдавана да използва нов заден ход, наречен TinyTurla-NG, в кампания, продължила три месеца. Операцията по нападение беше насочена конкретно срещу неправителствени организации в Полша. Подобно на своя предшественик, TinyTurla-NG функционира като компактна задна вратичка за „последна инстанция“. Той е стратегически разгърнат, за да остане неактивен, докато всички други механизми за неоторизиран достъп или задни вратички на компрометираните системи или не се повредят, или бъдат открити.

През февруари 2024 г. анализаторите на киберсигурността откриха нова кампания на Turla, представяща иновативни стратегии и модифициран вариант на троянския кон Kazuar. В тази конкретна операция за нападение заплахата Kazuar беше разпространена до целевите жертви чрез недокументирана преди това обвивка, наречена Pelmeni .

Turla APT остава голяма киберзаплаха въпреки годините на подробни операции за атака

Групата Turla стои като упорит и издръжлив противник, който може да се похвали с дългогодишен опит в дейностите си. Техният произход, тактика и избор на цели предполагат добре обезпечена операция, водена от опитни оперативни работници. През годините Turla последователно подобрява своите инструменти и методологии, което показва ангажимент за непрекъснато усъвършенстване.

Заплахата, породена от групи като Turla, подчертава необходимостта организациите и правителствата да поддържат бдителност. Това предполага да бъдете в крак с развитието, обмен на разузнавателна информация и прилагане на стабилни мерки за сигурност. Такива проактивни стъпки позволяват както на групите, така и на отделните лица да укрепят защитата си срещу заплахите, породени от такива участници.