Turla APT

Turla, také známá jako Zamyšlená medvědice, Uroburos a Snake, představuje sofistikovanou pokročilou trvalou hrozbu (APT) pocházející z Ruska s historií sahající minimálně do roku 2004 a údajnými vazbami na ruskou Federální bezpečnostní službu (FSB). Turla, proslulá svými cílenými průniky a špičkovou taktikou stealth, si vydobyla reputaci jako impozantní a nepolapitelný protivník, který předvádí výjimečnou technickou zdatnost při organizování skrytých a tajných kybernetických útoků.

V průběhu let Turla rozšířila svůj dosah do více než 45 zemí a pronikla do různých sektorů, jako jsou vládní agentury, diplomatické mise, vojenská zařízení, stejně jako vzdělávací, výzkumné a farmaceutické instituce. Kromě toho byla tato skupina zapletena do aktivit souvisejících s rusko-ukrajinským konfliktem, který propukl v únoru 2022, podle zpráv ukrajinského CERT, což naznačuje špionážní operace zaměřené na ukrajinské obranné zájmy.

Přestože Turla zaměřila své špionážní úsilí především na systémy založené na Windows, prokázala schopnosti zaměřit se na platformy macOS a Linux. Díky neúnavnému vývoji Turla nashromáždila impozantní arzenál malwarových nástrojů, včetně, ale bez omezení na Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon a HyperStack a TinyTurla , které byly aktivně využívány v různých ohrožujících kampaních. .

Turla se začíná zaměřovat na systémy Linux

V roce 2014 už Turla působila v kybernetickém prostředí několik let, ale způsob jeho infekce zůstával záhadou. Výzkum provedený v témže roce vrhl světlo na sofistikovaný vícestupňový útok nazvaný Epic Turla, který odhalil, jak Turla využívá rodinu malwaru Epic. Tato kampaň využívala zranitelnosti CVE-2013-5065 a CVE-2013-3346 a využívala e-maily spear-phishing vyzbrojené exploity Adobe PDF spolu s technikami zavlažování využívajících exploity Java (CVE-2012-1723).

Pozoruhodným aspektem této kampaně bylo nasazení pokročilých zadních vrátek Turly, jako je Carbon/Cobra, příležitostně oba využívající jako mechanismus pro přepnutí při selhání.

Předchozí operace Turly se zaměřovaly převážně na systémy Windows, ale v srpnu 2014 se situace změnila, když Turla poprvé vstoupila na území Linuxu. Tato iniciativa, známá jako Penguin Turla, viděla, že skupina použila modul Linux Turla obsahující spustitelný soubor C/C++ staticky propojený s více knihovnami, což výrazně zvýšilo velikost souboru pro tuto konkrétní operaci.

Turla zavádí nové hrozby malwaru ve svých útočných operacích

V roce 2016 skupina známá jako Waterbug, údajně státem sponzorovaná entita, použila varianty Trojan.Turla a Trojan.Wipbot ke zneužití zranitelnosti zero-day, konkrétně se zaměřila na chybu zabezpečení eskalace místních oprávnění Windows Kernel NDProxy.sys (CVE-2013 -5065). Podle zjištění výzkumu útočníci využívali pečlivě vytvořené e-maily obsahující nebezpečné přílohy spolu se sítí napadených webů, aby doručili své hanebné užitečné zatížení.

Následující rok výzkumníci odhalili pokročilou iteraci malwaru Turla – zadní vrátka druhé fáze identifikované jako Carbon. Zahájení uhlíkového útoku obvykle zahrnuje oběť, která buď obdrží e-mail se spear-phishingem, nebo narazí na kompromitovanou webovou stránku, hovorově známou jako napajedlo.

Následně se nainstaluje backdoor první fáze jako Tavdig nebo Skipper . Po dokončení průzkumných aktivit Carbon framework organizuje instalaci zadních vrátek druhé fáze na kritické systémy. Tento rámec obsahuje kapátko odpovědné za instalaci jeho konfiguračního souboru, komunikační komponentu pro interakci se serverem Command and Control (C&C), orchestrátor pro správu úkolů a boční pohyb v síti a zavaděč pro provádění orchestrátoru.

Turla's Kazuar Backdoor vstupuje na scénu

V květnu 2017 spojili výzkumníci kybernetické bezpečnosti nově objeveného trojského koně Kazuara se skupinou Turla. Kazuar, vyvinutý pomocí Microsoft .NET Framework, se může pochlubit vysoce funkčními příkazovými sadami schopnými vzdáleně načítat další zásuvné moduly.

Kazuar funguje tak, že shromažďuje informace o názvech souborů systému a malwaru, vytváří mutex pro zajištění jedinečného spuštění a přidává soubor LNK do spouštěcí složky Windows.

Příkazové sady v Kazuaru vykazují podobnosti s těmi, které se nacházejí v jiných backdoor trojanech. Například příkaz tasklist využívá dotaz Windows Management Instrumentation (WMI) k načtení běžících procesů ze systému Windows, zatímco příkaz info shromažďuje data o otevřených oknech. Kromě toho příkaz cmd Kazuar spouští příkazy pomocí cmd.exe pro systémy Windows a /bin/bash pro systémy Unix, což naznačuje jeho design jako multiplatformní malware zaměřený na prostředí Windows i Unix.

Další výzkum na začátku roku 2021 odhalil pozoruhodné paralely mezi zadními vrátky Sunburst a Kazuar.

V roce 2017 probíhají další útočné kampaně Turla

Turla představila nová zadní vrátka druhé fáze nazvaná Gazer, kódovaná v C++, využívající útoky typu watering-hole a spear-phishing kampaně k přesnému zacílení obětí.

Kromě vylepšených schopností stealth vykazoval Gazer četné podobnosti s dříve používanými zadními vrátky druhé fáze, jako jsou Carbon a Kazuar. Pozoruhodným rysem této kampaně byla integrace vět „souvisejících s videohrou“ do kódu. Turla zabezpečila server Gazer's Command and Control (C&C) šifrováním pomocí vlastní knihovny pro šifrování 3DES a RSA.

Turla začleňuje hrozby a infrastrukturu od jiných skupin kybernetické kriminality

V roce 2018 zpravodajská zpráva uvedla, že Turla použil nově vyvinuté škodlivé nástroje Neuron a Nautilus spolu s Snake Rootkit , aby se zaměřil na počítače s Windows, se zvláštním zaměřením na poštovní a webové servery. Turla využil kompromitované oběti Snake ke skenování shellů ASPX a přenášel příkazy prostřednictvím zašifrovaných hodnot HTTP cookie. Turla využila ASPX shelly k vytvoření počátečního přístupu k cílovým systémům pro nasazení dalších nástrojů.

V roce 2018 se Turla opět zaměřila na zahraniční úřady evropských vlád s cílem infiltrovat vysoce citlivé informace zadními vrátky. Tato kampaň se zaměřovala na Microsoft Outlook a The Bat!, široce používaný poštovní klient ve východní Evropě, přesměrovával všechny odchozí e-maily na útočníky. Backdoor využíval e-mailové zprávy k extrakci dat, zaměstnával speciálně vytvořené dokumenty PDF a využíval e-mailové zprávy jako kanál pro svůj server Command and Control (C&C).

V roce 2019 operátoři Turly využili infrastrukturu OilRig, skupiny APT spojené s Íránem, která je známá tím, že se zaměřuje na vládní subjekty a organizace na Blízkém východě, k provádění vlastních útočných operací. Tato kampaň zahrnovala nasazení silně upravené, vlastní varianty nástroje Mimikatz spolu s novou řadou nástrojů s několika novými zadními vrátky. V pozdějších fázích kampaně skupina Turla využívala odlišná backdoor Remote Procedure Call (RPC), která obsahovala kód z veřejně přístupného nástroje PowerShell Runner ke spouštění skriptů PowerShell bez spoléhání se na powershell.exe.

Nové backdoor hrozby vydané v průběhu roku 2020

V březnu 2020 bezpečnostní analytici pozorovali, jak Turla používá útoky typu water-hole, aby se zaměřila na četné arménské webové stránky. Tyto webové stránky byly injektovány poškozeným kódem JavaScript, ačkoli přesné metody přístupu použité při útocích zůstávají nezveřejněny.

Následně napadené webové stránky distribuovaly kompromitovaný kód JavaScript ve druhé fázi, aby identifikovaly prohlížeče obětí a přiměly je k instalaci špatného instalátoru Flash. Turla poté využila NetFlash , .NET downloader, a PyFlash pro své sekundární nasazení malwaru.

O několik měsíců později Turla použil ComRAT v4 , alias Agent.BTZ, jako Remote Access Trojan (RAT). Tento malware, vytvořený pomocí C++, obsahuje virtuální souborový systém FAT16, který se často používá k exfiltraci citlivých dokumentů. Je šířen prostřednictvím zavedených přístupových cest, jako je backdoor PowerStallion PowerShell, přičemž využívá HTTP a e-mail jako kanály Command and Control (C&C).

Ke konci roku 2020 odborníci na kybernetickou bezpečnost narazili na nezdokumentovaný nástroj na extrahování zadních vrátek a dokumentů jménem Crutch , připisovaný skupině Turla. Dřívější verze Crutch obsahovaly zadní vrátka komunikující s předem určeným účtem Dropbox přes oficiální HTTP API.

Tato zadní vrátka disponovala schopnostmi spouštět příkazy související s manipulací se soubory, prováděním procesů a zajišťováním stálosti prostřednictvím únosu DLL v Google Chrome, Mozilla Firefox nebo Microsoft OneDrive. Je pozoruhodné, že Crutch v4 se může pochlubit automatickou funkcí pro nahrávání místních a vyměnitelných souborů na úložiště Dropbox, což usnadňuje verze nástroje Wget pro Windows, na rozdíl od předchozích iterací závislých na příkazech zadních vrátek.

Skupina Turla APT uvolňuje malware TinyTurla a začíná se zaměřovat na aktiva na Ukrajině

Vznik zadních vrátek TinyTurla přišel do pozornosti v roce 2021. Tato hrozba pravděpodobně slouží jako pohotovostní plán, který umožňuje trvalý přístup k systémům i v případě odstranění primárního malwaru. Instalace tohoto backdooru je usnadněna pomocí dávkového souboru a projevuje se jako servisní DLL s názvem w64time.dll, jejímž cílem je napodobit legitimní soubor w32time.dll na platformách Windows.

Uprostřed ruské invaze na Ukrajinu přesměrovala Turla APT své zaměření na cíle v souladu s ruskými zájmy v konfliktu. Oznámení ukrajinského týmu Computer Emergency Response Team (CERT-UA) z července 2023 odhalilo, že Turla využívá malware Capibar a zadní vrátka Kazuar pro špionážní aktivity zaměřené na ukrajinské obranné prostředky. V této operaci byl Capibar zaměstnán pro shromažďování zpravodajských informací, zatímco Kazuar se specializoval na krádeže pověření. Útok byl zaměřen především na diplomatické a vojenské subjekty prostřednictvím phishingových kampaní.

Vznik TinyTurla-NG a Pelmeni Wrapper

Ke konci roku 2023 byl aktér hrozby Turla pozorován, jak v kampani trvající tři měsíce používá nová zadní vrátka jménem TinyTurla-NG. Útočná operace se konkrétně zaměřila na nevládní organizace v Polsku. Podobně jako jeho předchůdce funguje TinyTurla-NG jako kompaktní zadní vrátka „poslední záchrany“. Je strategicky nasazen, aby zůstal nečinný, dokud všechny ostatní mechanismy neoprávněného přístupu nebo zadních vrátek na kompromitovaných systémech buď selžou, nebo nebudou objeveny.

V únoru 2024 odhalili analytici kybernetické bezpečnosti novou kampaň Turla, která představila inovativní strategie a upravenou variantu trojského koně Kazuar. V této konkrétní útočné operaci byla hrozba Kazuar distribuována mezi cílené oběti prostřednictvím dříve nezdokumentovaného obalu jménem Pelmeni .

Turla APT zůstává hlavní kybernetickou hrozbou navzdory letům podrobných útočných operací

Skupina Turla je vytrvalým a trvalým protivníkem, který se může pochlubit dlouhou historií aktivit. Jejich původ, taktika a výběr cílů naznačují dobře vybavenou operaci vedenou zdatnými agenty. V průběhu let Turla neustále vylepšovala své nástroje a metodiky, což naznačuje závazek k neustálému zdokonalování.

Hrozba, kterou představují skupiny jako Turla, podtrhuje nutnost, aby organizace a vlády zachovaly ostražitost. To znamená držet krok s vývojem, vyměňovat si zpravodajské informace a zavádět robustní bezpečnostní opatření. Tyto proaktivní kroky umožňují skupinám i jednotlivcům posílit svou obranu proti hrozbám, které takoví aktéři představují.