Turla APT

Turla, també coneguda com Pensive Ursa, Uroburos i Snake, representa una sofisticada amenaça persistent avançada (APT) originària de Rússia, amb una història que es remunta almenys al 2004 i suposats vincles amb el Servei de Seguretat Federal Rus (FSB). Conegut per les seves intrusions dirigides i les seves tàctiques d'avantguarda sigil·les, Turla s'ha guanyat la reputació d'adversari formidable i evasió, mostrant una habilitat tècnica excepcional en l'orquestració d'atacs cibernètics encoberts i sigils.

Al llarg dels anys, Turla ha estès el seu abast a més de 45 països, infiltrant-se en una àmplia gamma de sectors com agències governamentals, missions diplomàtiques, establiments militars, així com institucions educatives, de recerca i farmacèutiques. A més, el grup ha estat implicat en activitats relacionades amb el conflicte rus-ucraïnès que va esclatar el febrer de 2022, segons els informes del CERT d'Ucraïna, que indiquen operacions d'espionatge dirigides als interessos de defensa d'Ucraïna.

Tot i que Turla va centrar principalment els seus esforços d'espionatge en sistemes basats en Windows, ha demostrat capacitats per orientar-se a plataformes macOS i Linux. A través d'un desenvolupament implacable, Turla ha acumulat un formidable arsenal d'eines de programari maliciós, que inclou, entre d'altres, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon i HyperStack i TinyTurla , que s'han utilitzat activament en diverses campanyes d'amenaça. .

Turla comença a orientar-se als sistemes Linux

El 2014, Turla ja havia estat operant en el panorama cibernètic durant diversos anys, però el mètode de la seva infecció continuava sent un misteri. La investigació realitzada el mateix any va donar llum a un sofisticat atac de diverses etapes anomenat Epic Turla, que va revelar la utilització per part de Turla de la família de programari maliciós Epic. Aquesta campanya va aprofitar les vulnerabilitats CVE-2013-5065 i CVE-2013-3346, aprofitant els correus electrònics de pesca de pesca armats amb exploits d'Adobe PDF juntament amb tècniques d'aigua que utilitzen exploits de Java (CVE-2012-1723).

Un aspecte notable d'aquesta campanya va ser el desplegament per part de Turla de portes posteriors avançades com Carbon/Cobra, utilitzant ocasionalment ambdues com a mecanisme de failover.

Les operacions anteriors de Turla es van dirigir principalment als sistemes Windows, però l'agost de 2014, el panorama va canviar quan Turla es va aventurar al territori Linux per primera vegada. Coneguda com Penguin Turla, aquesta iniciativa va veure que el grup va utilitzar un mòdul Linux Turla amb un executable C/C++ enllaçat estàticament amb diverses biblioteques, augmentant significativament la mida del fitxer per a aquesta operació en particular.

Turla introdueix noves amenaces de programari maliciós en les seves operacions d'atac

El 2016, un grup conegut com a Waterbug, suposadament una entitat patrocinada per l'estat, va emprar variants de Trojan.Turla i Trojan.Wipbot per explotar una vulnerabilitat de dia zero, específicament dirigida a la vulnerabilitat d'escalada de privilegis locals del nucli de Windows NDProxy.sys (CVE-2013). -5065). Segons els resultats de la investigació, els atacants van utilitzar correus electrònics meticulosament elaborats que contenien fitxers adjunts no segurs juntament amb una xarxa de llocs web compromesos per lliurar les seves càrregues útils nefastes.

L'any següent, els investigadors van descobrir una iteració avançada del programari maliciós Turla: una porta posterior de segona etapa identificada com Carbon. L'inici d'un atac de carboni normalment implica que la víctima rep un correu electrònic de pesca amb lanza o ensopegui amb un lloc web compromès, conegut col·loquialment com a forat.

Posteriorment, s'instal·la una porta posterior de la primera etapa com Tavdig o Skipper . Un cop finalitzades les activitats de reconeixement, el marc de carboni orquestra la instal·lació de la seva porta posterior de segona etapa en sistemes crítics. Aquest marc inclou un dropper encarregat d'instal·lar el seu fitxer de configuració, un component de comunicació per interactuar amb el servidor de comandament i control (C&C), un orquestrador per gestionar les tasques i el moviment lateral dins de la xarxa i un carregador per executar l'orquestrador.

La porta del darrere Kazuar de Turla entra a escena

El maig de 2017, els investigadors de ciberseguretat van vincular un troià de porta posterior descobert recentment, Kazuar, al grup Turla. Desenvolupat amb Microsoft .NET Framework, Kazuar compta amb conjunts d'ordres altament funcionals capaços de carregar de forma remota complements addicionals.

Kazuar funciona recopilant informació del nom del fitxer del sistema i del programari maliciós, establint un mutex per garantir una execució singular i afegint un fitxer LNK a la carpeta d'inici de Windows.

Els conjunts d'ordres dins de Kazuar mostren semblances amb els que es troben en altres troians de la porta del darrere. Per exemple, l'ordre tasklist utilitza una consulta d'Instrumentació de gestió de Windows (WMI) per recuperar els processos en execució de Windows, mentre que l'ordre info recull dades a les finestres obertes. A més, l'ordre cmd de Kazuar executa ordres mitjançant cmd.exe per a sistemes Windows i /bin/bash per a sistemes Unix, cosa que indica el seu disseny com a programari maliciós multiplataforma dirigit tant a entorns Windows com Unix.

Investigacions posteriors a principis del 2021 van revelar paral·lelismes notables entre les portes del darrere de Sunburst i Kazuar.

Més campanyes d'atac a Turla que tindran lloc el 2017

Turla va introduir una nova porta del darrere de segona etapa anomenada Gazer, codificada en C++, que aprofitava els atacs d'aigua i les campanyes de phishing per apuntar amb precisió a les víctimes.

A més de les seves capacitats de sigil millora, Gazer mostrava nombroses semblances amb les portes del darrere de la segona etapa utilitzades anteriorment com Carbon i Kazuar. Una característica notable d'aquesta campanya va ser la integració de frases "relacionades amb videojocs" dins del codi. Turla va assegurar el servidor de comandament i control (C&C) de Gazer xifrant-lo amb la seva biblioteca propietària per al xifratge 3DES i RSA.

Turla incorpora amenaces i infraestructures d'altres grups de ciberdelinqüència

El 2018, un informe d'intel·ligència va indicar que Turla va utilitzar eines perjudicials recentment desenvolupades, Neuron i Nautilus , juntament amb el Snake Rootkit , per orientar-se a les màquines Windows, amb un enfocament particular als servidors de correu i web. Turla va utilitzar víctimes de Snake compromeses per buscar shells ASPX, transmetent ordres mitjançant valors de galetes HTTP xifrats. Turla va aprofitar shells ASPX per establir l'accés inicial als sistemes de destinació per al desplegament d'eines addicionals.

Un cop més, el 2018, Turla va posar la mirada en les oficines exteriors dels governs europeus, amb l'objectiu d'infiltrar informació molt sensible a través d'una porta del darrere. Aquesta campanya es va dirigir a Microsoft Outlook i The Bat!, un client de correu molt utilitzat a Europa de l'Est, que redirigeix tots els correus electrònics sortints als atacants. La porta del darrere va utilitzar missatges de correu electrònic per extreure dades, utilitzant documents PDF especialment dissenyats i utilitzant missatges de correu electrònic com a canal per al seu servidor de comandament i control (C&C).

El 2019, els operadors de Turla van explotar la infraestructura d'OilRig, un grup APT associat a l'Iran conegut per dirigir-se a entitats i organitzacions governamentals a l'Orient Mitjà, per dur a terme les seves pròpies operacions d'atac. Aquesta campanya va implicar el desplegament d'una variant personalitzada i molt modificada de l'eina Mimikatz juntament amb una nova varietat d'eines amb diverses portes posteriors noves. En les fases posteriors de la campanya, el grup Turla va utilitzar una porta posterior de trucada de procediment remot (RPC) diferent, que incorporava codi de l'eina PowerShell Runner d'accés públic per executar scripts de PowerShell sense dependre de powershell.exe.

Noves amenaces de la porta posterior publicades al llarg del 2020

El març del 2020, els analistes de seguretat van observar que Turla feia servir atacs de font per atacar nombrosos llocs web armenis. Aquests llocs web es van injectar amb codi JavaScript corrupte, tot i que els mètodes precisos d'accés utilitzats en els atacs romanen sense revelar.

Posteriorment, les pàgines web compromeses van distribuir codi JavaScript compromès de segona etapa per identificar els navegadors víctimes i persuadir-los a instal·lar un instal·lador Flash dolent. Aleshores, Turla va aprofitar NetFlash , un descarregador de .NET, i PyFlash per al seu desplegament secundari de programari maliciós.

Uns mesos més tard, Turla va emprar ComRAT v4 , àlies Agent.BTZ, com a troià d'accés remot (RAT). Aquest programari maliciós, creat amb C++, inclou un sistema de fitxers FAT16 virtual que s'utilitza amb freqüència per extreure documents sensibles. Es difon a través de rutes d'accés establertes, com ara la porta posterior de PowerStallion PowerShell, mentre s'utilitza HTTP i correu electrònic com a canals de comandament i control (C&C).

Cap a finals del 2020, els experts en ciberseguretat van ensopegar amb una porta del darrere i un extractor de documents indocumentats anomenat Crutch , atribuït al grup Turla. Les versions anteriors de Crutch incloïen una porta del darrere que es comunicava amb un compte de Dropbox predeterminat mitjançant l'API HTTP oficial.

Aquesta porta del darrere tenia capacitats per executar ordres relacionades amb la manipulació de fitxers, l'execució de processos i l'establiment de la persistència mitjançant el segrest de DLL a Google Chrome, Mozilla Firefox o Microsoft OneDrive. En particular, Crutch v4 compta amb una funció automatitzada per carregar fitxers d'unitat locals i extraïbles a l'emmagatzematge de Dropbox, facilitat per la versió de Windows de la utilitat Wget, a diferència de les iteracions anteriors que depenen de les ordres de la porta posterior.

El grup Turla APT llança el programari maliciós TinyTurla i comença a orientar els actius a Ucraïna

L'aparició de la porta del darrere de TinyTurla va cridar l'atenció el 2021. Aquesta amenaça probablement serveix com a pla de contingència, que permet un accés sostingut als sistemes fins i tot en cas d'eliminació de programari maliciós principal. La instal·lació d'aquesta porta posterior es facilita mitjançant un fitxer per lots i es manifesta com a DLL de servei anomenada w64time.dll, amb l'objectiu d'imitar el fitxer legítim w32time.dll a les plataformes Windows.

Enmig de la invasió russa d'Ucraïna, l'APT de Turla va redirigir el seu enfocament cap a objectius alineats amb els interessos de Rússia en el conflicte. Un anunci de l'equip de resposta a emergències informàtiques d'Ucraïna (CERT-UA) el juliol de 2023 va revelar la utilització per part de Turla del programari maliciós Capibar i de la porta posterior de Kazuar per a activitats d'espionatge dirigides a actius de defensa ucraïnesos. En aquesta operació, Capibar va ser emprat per a la recollida d'intel·ligència mentre Kazuar es va especialitzar en robatori de credencials. L'atac es va dirigir principalment a entitats diplomàtiques i militars mitjançant campanyes de pesca.

L'aparició de TinyTurla-NG i Pelmeni Wrapper

Cap a finals de 2023, es va observar que l'actor d'amenaça de Turla utilitzava una nova porta del darrere anomenada TinyTurla-NG en una campanya de tres mesos. L'operació d'atac va apuntar específicament a organitzacions no governamentals a Polònia. De manera similar al seu predecessor, TinyTurla-NG funciona com una porta posterior compacta d'"últim recurs". Es desplega estratègicament per romandre inactiu fins que tots els altres mecanismes d'accés no autoritzat o de porta posterior dels sistemes compromesos hagin fallat o s'hagin descobert.

El febrer de 2024, els analistes de ciberseguretat van descobrir una nova campanya de Turla que mostrava estratègies innovadores i una variant modificada del troià Kazuar. En aquesta operació d'atac en particular, l'amenaça Kazuar es va distribuir a les víctimes apuntades a través d'un embolcall abans indocumentat anomenat Pelmeni .

L'APT de Turla segueix sent una ciberamenaça important malgrat els anys d'operacions d'atac detallades

El grup Turla es presenta com un adversari persistent i perdurable, amb una llarga trajectòria d'activitats. Els seus orígens, tàctiques i elecció d'objectius suggereixen una operació amb bons recursos dirigida per operaris experts. Al llarg dels anys, Turla ha millorat constantment les seves eines i metodologies, cosa que indica un compromís amb el refinament continu.

L'amenaça que suposen grups com Turla subratlla l'imperatiu que les organitzacions i els governs mantinguin la vigilància. Això implica estar al dia dels desenvolupaments, intercanviar intel·ligència i implementar mesures de seguretat sòlides. Aquests passos proactius permeten tant als grups com als individus reforçar les seves defenses contra les amenaces que plantegen aquests actors.