Turla Bagdør

Turla APT (Advanced Persistent Threat), er en berygtet russisk hackergruppe, som har været i drift i over et årti nu. De kaldes også Uroburos APT eller Snake APT. De er kendt for at have smag for high-end ofre. Det blev rapporteret, at Turla APT havde infiltreret Tysklands Federal College of Public Administration og derefter gennem det formået at gå på kompromis med det føderale udenrigsministerium i landet. Desuden var dette ikke en engangspenetration; det er blevet oplyst, at Turla APT gik under de tyske myndigheders radar i næsten hele 2017. I løbet af denne tid sugede hackergruppen og indsamlede regeringsdata. Denne imponerende operation blev udført med et APT's værktøj kaldet Turla Backdoor.

Tre europæiske lande har rapporteret angreb fra denne russiske hackergruppe. Målene var endnu en gang deres udenlandske kontorer. Det er sikkert at antage, at Turla APT er stærkt involveret i spionage, da deres hovedmål altid har været diplomater, militære og statslige myndigheder og politikere. Det er mistanke om, at Turla APT kan være knyttet til den russiske regering, men disse oplysninger er endnu ikke bekræftet.

Turla APT's bagdør menes at stamme tilbage i 2009. Hackergruppen har imidlertid ikke været inaktiv i årenes løb og har indført mange forbedringer af deres bagdør, såsom truslens evne til at modtage kommandoer via en PDF -fil vedhæftet en e -mail , som blev introduceret tilbage i 2016. I 2018 blev der tilføjet en ny funktion til Turla APT's bagdør - den var blevet opgraderet med evnen til at udføre PowerShell -kommandoer på den inficerede vært.

Denne seneste version af denne bagdør er udstyret med evnen til at infiltrere Microsoft Outlook. Interessant nok bruger Turla APT ikke en sårbarhed i applikationen, men manipulerer i stedet det legitime MAPI (Messaging Application Programming Interface) i Microsoft Outlook og får derigennem adgang til direkte beskeder om deres tilsigtede mål. I modsætning til de fleste bagdøre, som normalt modtager kommandoer via en Command and Control -server for gerningsmændene, styres Turla Backdoor via specielt udformede e -mails takket være den forbedring, som Turla APT introducerede i 2016. Turla Backdoor er i stand til at udføre mange kommandoer, bl.a. som indsamler data og downloader og eksekverer forskellige filer. Denne bagdør er ikke for kræsen, når det kommer til, hvor den bliver plantet - Turla Backdoor er i form af DLL -modul (Dynamic Link Library) og er i stand til at køre overalt på harddisken. Desuden anvender Turla APT et Windows -værktøj (RegSvr32.exe) til at installere bagdøren på det målrettede system.

Som enhver yderst effektiv trussel i denne kaliber er Turla Backdoor naturligvis også udstyret med stor vedholdenhed. For at minimere chancerne for at blive opdaget vil Turla Backdoor ikke udføre sine 'pligter' hele tiden. I stedet bruger den en velkendt Windows-sårbarhed vedrørende Component Object Model (COM.) Ved at udnytte denne sårbarhed er bagdøren i stand til at injicere sine instanser i den legitime 'outlook.exe' -proces, hvilket eliminerer behovet for at bruge en DLL injektion-en angrebsvektor, som antivirusprodukter let opdager.

Ved at infiltrere Microsoft Outlook er Turla Backdoor i stand til at indsamle metadata om deres ofrets beskedaktivitet - e -mail -emne, navn på vedhæftede filer, afsendere og modtagere. Disse data indsamles og gemmes af Turla Backdoor og overføres periodisk til angriberens servere. En trussel som Turla Backdoor kan forårsage meget skade, især hvis angriberne formår at inficere et system, der bruges til at gemme følsomme data eller kommunikation, og det er tydeligt, at Turla APT målretter præcis disse brugere.

Bortset fra datatyveri kan malware beordres til at downloade yderligere filer eller udføre beskadigede PowerShell -scripts. Afslutningsvis er Turla Backdoor en trussel, der kommer tæt på et rootkit i dets funktionalitet.