Turla APT
Το Turla, γνωστό και ως Σκεπτικό Άρκτο, Ουρομπούρος και Φίδι, αντιπροσωπεύει μια εξελιγμένη Προηγμένη Επίμονη Απειλή (APT) που προέρχεται από τη Ρωσία, με ιστορία που χρονολογείται τουλάχιστον από το 2004 και υποτιθέμενους δεσμούς με τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB). Γνωστή για τις στοχευμένες εισβολές και τις πρωτοποριακές τακτικές stealth, η Turla έχει κερδίσει τη φήμη ενός τρομερού και άπιαστου αντιπάλου, επιδεικνύοντας εξαιρετική τεχνική ικανότητα στην ενορχήστρωση κρυφών και κρυφών επιθέσεων στον κυβερνοχώρο.
Με τα χρόνια, η Turla έχει επεκτείνει την εμβέλειά της σε περισσότερες από 45 χώρες, διεισδύοντας σε μια ποικιλία τομέων όπως κυβερνητικές υπηρεσίες, διπλωματικές αποστολές, στρατιωτικά ιδρύματα, καθώς και εκπαιδευτικά, ερευνητικά και φαρμακευτικά ιδρύματα. Επιπλέον, η ομάδα έχει εμπλακεί σε δραστηριότητες που σχετίζονται με τη σύγκρουση Ρωσίας-Ουκρανίας που ξέσπασε τον Φεβρουάριο του 2022, σύμφωνα με αναφορές από την Ουκρανική CERT, υποδεικνύοντας επιχειρήσεις κατασκοπείας που απευθύνονται στα ουκρανικά αμυντικά συμφέροντα.
Αν και η Turla εστίασε κυρίως τις προσπάθειές της για κατασκοπεία σε συστήματα που βασίζονται σε Windows, έχει επιδείξει ικανότητες να στοχεύει πλατφόρμες macOS και Linux. Μέσω της αδιάκοπης ανάπτυξης, η Turla έχει συγκεντρώσει ένα τρομερό οπλοστάσιο εργαλείων κακόβουλου λογισμικού, συμπεριλαμβανομένων, ενδεικτικά, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon and HyperStack και TinyTurla , τα οποία έχουν χρησιμοποιήσει ενεργά σε διάφορες καμπάνιες .
Πίνακας περιεχομένων
Η Turla αρχίζει να στοχεύει συστήματα Linux
Μέχρι το 2014, η Turla είχε ήδη δραστηριοποιηθεί στον κυβερνοχώρο για αρκετά χρόνια, ωστόσο η μέθοδος μόλυνσης παρέμενε μυστήριο. Η έρευνα που διεξήχθη την ίδια χρονιά έριξε φως σε μια εξελιγμένη επίθεση πολλαπλών σταδίων που ονομάστηκε Epic Turla, αποκαλύπτοντας τη χρήση της οικογένειας κακόβουλου λογισμικού Epic από την Turla. Αυτή η καμπάνια εκμεταλλεύτηκε τα τρωτά σημεία CVE-2013-5065 και CVE-2013-3346, αξιοποιώντας μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) οπλισμένα με εκμεταλλεύσεις Adobe PDF παράλληλα με τεχνικές που χρησιμοποιούν εκμεταλλεύσεις Java (CVE-2012-1723).
Μια αξιοσημείωτη πτυχή αυτής της καμπάνιας ήταν η ανάπτυξη προηγμένων backdoors από την Turla, όπως το Carbon/Cobra, που περιστασιακά χρησιμοποιούν και τα δύο ως μηχανισμό failover.
Οι προηγούμενες λειτουργίες της Turla στόχευαν κατά κύριο λόγο τα συστήματα Windows, αλλά τον Αύγουστο του 2014, το τοπίο άλλαξε καθώς η Turla τολμούσε στην περιοχή του Linux για πρώτη φορά. Γνωστό ως Penguin Turla, αυτή η πρωτοβουλία οδήγησε την ομάδα να χρησιμοποιεί μια λειτουργική μονάδα Linux Turla που διαθέτει ένα εκτελέσιμο C/C++ συνδεδεμένο στατικά με πολλαπλές βιβλιοθήκες, αυξάνοντας σημαντικά το μέγεθος του αρχείου της για τη συγκεκριμένη λειτουργία.
Η Turla εισάγει νέες απειλές κακόβουλου λογισμικού στις επιθέσεις της
Το 2016, μια ομάδα γνωστή ως Waterbug, που υποτίθεται ότι χρηματοδοτείται από το κράτος, χρησιμοποίησε παραλλαγές των Trojan.Turla και Trojan.Wipbot για να εκμεταλλευτεί μια ευπάθεια zero-day, στοχεύοντας συγκεκριμένα την ευπάθεια κλιμάκωσης τοπικών προνομίων του Windows Kernel NDProxy.sys (CVE- -5065). Σύμφωνα με τα ευρήματα της έρευνας, οι επιτιθέμενοι χρησιμοποίησαν σχολαστικά κατασκευασμένα email που περιείχαν μη ασφαλή συνημμένα μαζί με ένα δίκτυο παραβιασμένων ιστότοπων για να παραδώσουν τα κακόβουλα φορτία τους.
Το επόμενο έτος, οι ερευνητές αποκάλυψαν μια προηγμένη επανάληψη του κακόβουλου λογισμικού Turla - μια κερκόπορτα δεύτερου σταδίου που προσδιορίζεται ως Carbon. Η έναρξη μιας επίθεσης άνθρακα συνήθως περιλαμβάνει το θύμα είτε να λαμβάνει ένα email ηλεκτρονικού ψαρέματος (spear-phishing) είτε να σκοντάψει πάνω σε έναν παραβιασμένο ιστότοπο, γνωστό στην καθομιλουμένη ως watering hole.
Στη συνέχεια, εγκαθίσταται ένα backdoor πρώτου σταδίου όπως το Tavdig ή το Skipper . Μετά την ολοκλήρωση των αναγνωριστικών δραστηριοτήτων, το πλαίσιο Carbon ενορχηστρώνει την εγκατάσταση της κερκόπορτας δεύτερου σταδίου του σε κρίσιμα συστήματα. Αυτό το πλαίσιο περιλαμβάνει ένα dropper υπεύθυνο για την εγκατάσταση του αρχείου διαμόρφωσής του, ένα στοιχείο επικοινωνίας για αλληλεπίδραση με τον διακομιστή Command and Control (C&C), έναν ενορχηστρωτή για τη διαχείριση εργασιών και πλευρική κίνηση εντός του δικτύου και έναν φορτωτή για την εκτέλεση του ενορχηστρωτή.
Το Kazuar Backdoor του Turla μπαίνει στη σκηνή
Τον Μάιο του 2017, ερευνητές στον τομέα της κυβερνοασφάλειας συνέδεσαν έναν νέο Trojan που ανακαλύφθηκε backdoor, τον Kazuar, με την ομάδα Turla. Αναπτύχθηκε χρησιμοποιώντας το Microsoft .NET Framework, το Kazuar μπορεί να υπερηφανεύεται για εξαιρετικά λειτουργικά σύνολα εντολών ικανά να φορτώνουν εξ αποστάσεως πρόσθετα πρόσθετα.
Το Kazuar λειτουργεί συλλέγοντας πληροφορίες ονόματος αρχείου συστήματος και κακόβουλου λογισμικού, καθιερώνοντας ένα mutex για τη διασφάλιση της μοναδικής εκτέλεσης και προσθέτοντας ένα αρχείο LNK στον φάκελο εκκίνησης των Windows.
Τα σύνολα εντολών στο Kazuar παρουσιάζουν ομοιότητες με εκείνα που βρίσκονται σε άλλους Trojans με κερκόπορτα. Για παράδειγμα, η εντολή λίστας εργασιών χρησιμοποιεί ένα ερώτημα Windows Management Instrumentation (WMI) για την ανάκτηση διεργασιών που εκτελούνται από τα Windows, ενώ η εντολή info συλλέγει δεδομένα σε ανοιχτά παράθυρα. Επιπλέον, η εντολή cmd του Kazuar εκτελεί εντολές χρησιμοποιώντας το cmd.exe για συστήματα Windows και το /bin/bash για συστήματα Unix, υποδεικνύοντας τη σχεδίασή του ως κακόβουλο λογισμικό πολλαπλών πλατφορμών που στοχεύει περιβάλλοντα Windows και Unix.
Περαιτέρω έρευνα στις αρχές του 2021 αποκάλυψε αξιοσημείωτες παραλληλισμούς μεταξύ των κερκόπορτων Sunburst και Kazuar.
Περισσότερες εκστρατείες Turla Attack που πραγματοποιούνται το 2017
Η Turla παρουσίασε μια νέα κερκόπορτα δεύτερου σταδίου με την ονομασία Gazer, κωδικοποιημένη σε C++, αξιοποιώντας επιθέσεις και εκστρατείες spear-phishing για να στοχεύσουν με ακρίβεια τα θύματα.
Εκτός από τις βελτιωμένες δυνατότητές του stealth, το Gazer εμφάνιζε πολλές ομοιότητες με προηγούμενες κερκόπορτες δεύτερου σταδίου όπως το Carbon και το Kazuar. Ένα αξιοσημείωτο χαρακτηριστικό αυτής της καμπάνιας ήταν η ενσωμάτωση προτάσεων «σχετικές με βιντεοπαιχνίδια» στον κώδικα. Η Turla εξασφάλισε τον διακομιστή Command and Control (C&C) του Gazer κρυπτογραφώντας τον με την ιδιόκτητη βιβλιοθήκη του για κρυπτογράφηση 3DES και RSA.
Η Turla ενσωματώνει απειλές και υποδομή από άλλες ομάδες εγκλήματος στον κυβερνοχώρο
Το 2018, μια αναφορά πληροφοριών έδειξε ότι η Turla χρησιμοποίησε πρόσφατα επιβλαβή εργαλεία, Neuron και Nautilus , μαζί με το Snake Rootkit , για να στοχεύσει μηχανές Windows, με ιδιαίτερη έμφαση στην αλληλογραφία και τους διακομιστές Ιστού. Η Turla χρησιμοποίησε παραβιασμένα θύματα Snake για σάρωση για κελύφη ASPX, μεταδίδοντας εντολές μέσω κρυπτογραφημένων τιμών cookie HTTP. Η Turla χρησιμοποίησε κελύφη ASPX για να δημιουργήσει αρχική πρόσβαση σε συστήματα-στόχους για την ανάπτυξη πρόσθετων εργαλείων.
Για άλλη μια φορά το 2018, η Turla έβαλε το βλέμμα της στα γραφεία εξωτερικού των ευρωπαϊκών κυβερνήσεων, με στόχο να διεισδύσει σε εξαιρετικά ευαίσθητες πληροφορίες μέσω μιας κερκόπορτας. Αυτή η καμπάνια στόχευε το Microsoft Outlook και το The Bat!, ένα ευρέως χρησιμοποιούμενο πρόγραμμα-πελάτη αλληλογραφίας στην Ανατολική Ευρώπη, ανακατευθύνοντας όλα τα εξερχόμενα email στους εισβολείς. Το backdoor χρησιμοποίησε μηνύματα email για την εξαγωγή δεδομένων, χρησιμοποιώντας ειδικά δημιουργημένα έγγραφα PDF και χρησιμοποιώντας μηνύματα email ως αγωγό για τον διακομιστή Command and Control (C&C).
Το 2019, οι χειριστές Turla εκμεταλλεύτηκαν την υποδομή της OilRig, μιας ομάδας APT που σχετίζεται με το Ιράν, γνωστή για τη στόχευση κυβερνητικών οντοτήτων και οργανισμών στη Μέση Ανατολή, για να διεξάγουν τις δικές τους επιχειρήσεις επίθεσης. Αυτή η καμπάνια περιελάμβανε την ανάπτυξη μιας πολύ τροποποιημένης, προσαρμοσμένης παραλλαγής του εργαλείου Mimikatz μαζί με μια νέα σειρά εργαλείων με πολλές φρέσκες κερκόπορτες. Στις μεταγενέστερες φάσεις της καμπάνιας, η ομάδα Turla χρησιμοποίησε μια ξεχωριστή κερκόπορτα Remote Procedure Call (RPC), που ενσωματώνει κώδικα από το δημόσια προσβάσιμο εργαλείο PowerShell Runner για την εκτέλεση σεναρίων PowerShell χωρίς να βασίζεται στο powershell.exe.
Νέα Backdoor Threats που κυκλοφόρησαν καθ' όλη τη διάρκεια του 2020
Τον Μάρτιο του 2020, αναλυτές ασφαλείας παρατήρησαν την Turla να χρησιμοποιεί επιθέσεις για να στοχεύσει πολλές αρμενικές ιστοσελίδες. Σε αυτούς τους ιστότοπους έγινε ένεση με κατεστραμμένο κώδικα JavaScript, αν και οι ακριβείς μέθοδοι πρόσβασης που χρησιμοποιήθηκαν στις επιθέσεις παραμένουν άγνωστες.
Στη συνέχεια, οι παραβιασμένες ιστοσελίδες διένειμαν παραβιασμένο κώδικα JavaScript δεύτερου σταδίου για να εντοπίσουν τα προγράμματα περιήγησης-θύμα και να τα παρακινήσουν να εγκαταστήσουν ένα κακό πρόγραμμα εγκατάστασης Flash. Στη συνέχεια, η Turla χρησιμοποίησε το NetFlash , ένα πρόγραμμα λήψης .NET, και το PyFlash για την ανάπτυξη δευτερεύοντος κακόβουλου λογισμικού.
Λίγους μήνες αργότερα, η Turla χρησιμοποίησε το ComRAT v4 , το ψευδώνυμο Agent.BTZ, ως Trojan Remote Access (RAT). Αυτό το κακόβουλο λογισμικό, που δημιουργήθηκε με χρήση C++, διαθέτει ένα εικονικό σύστημα αρχείων FAT16 που χρησιμοποιείται συχνά για την εξαγωγή ευαίσθητων εγγράφων. Διαδίδεται μέσω καθιερωμένων διαδρομών πρόσβασης, όπως η κερκόπορτα PowerStallion PowerShell, ενώ χρησιμοποιεί HTTP και email ως κανάλια Command and Control (C&C).
Προς τα τέλη του 2020, ειδικοί στον τομέα της κυβερνοασφάλειας έπεσαν πάνω σε μια μη τεκμηριωμένη κερκόπορτα και εξολκέα εγγράφων με το όνομα Crutch , που αποδίδεται στον όμιλο Turla. Οι προηγούμενες εκδόσεις του Crutch περιλάμβαναν μια κερκόπορτα που επικοινωνούσε με έναν προκαθορισμένο λογαριασμό Dropbox μέσω του επίσημου API HTTP.
Αυτή η κερκόπορτα διέθετε δυνατότητες εκτέλεσης εντολών που σχετίζονται με τον χειρισμό αρχείων, την εκτέλεση διεργασιών και την εξασφάλιση επιμονής μέσω παραβίασης DLL στο Google Chrome, το Mozilla Firefox ή το Microsoft OneDrive. Συγκεκριμένα, το Crutch v4 διαθέτει μια αυτοματοποιημένη δυνατότητα αποστολής τοπικών και αφαιρούμενων αρχείων μονάδας δίσκου στον χώρο αποθήκευσης Dropbox, που διευκολύνεται από την έκδοση Windows του βοηθητικού προγράμματος Wget, σε αντίθεση με προηγούμενες επαναλήψεις που βασίζονται σε εντολές backdoor.
Ο Όμιλος Turla APT απελευθερώνει το κακόβουλο λογισμικό TinyTurla και αρχίζει να στοχεύει περιουσιακά στοιχεία στην Ουκρανία
Η εμφάνιση της κερκόπορτας TinyTurla ήρθε στην προσοχή το 2021. Αυτή η απειλή πιθανότατα χρησιμεύει ως σχέδιο έκτακτης ανάγκης, επιτρέποντας τη διαρκή πρόσβαση στα συστήματα ακόμη και σε περίπτωση αφαίρεσης πρωτογενούς κακόβουλου λογισμικού. Η εγκατάσταση αυτού του backdoor διευκολύνεται μέσω ενός αρχείου δέσμης και εμφανίζεται ως DLL υπηρεσίας με το όνομα w64time.dll, με στόχο να μιμηθεί το νόμιμο αρχείο w32time.dll σε πλατφόρμες Windows.
Εν μέσω της ρωσικής εισβολής στην Ουκρανία, το Turla APT ανακατεύθυνε την εστίασή του σε στόχους που ευθυγραμμίζονται με τα συμφέροντα της Ρωσίας στη σύγκρουση. Μια ανακοίνωση από την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) τον Ιούλιο του 2023 αποκάλυψε τη χρήση από την Turla του κακόβουλου λογισμικού Capibar και της κερκόπορτας Kazuar για κατασκοπευτικές δραστηριότητες που στοχεύουν αμυντικά μέσα της Ουκρανίας. Σε αυτή την επιχείρηση, ο Capibar απασχολήθηκε για τη συλλογή πληροφοριών ενώ ο Kazuar ειδικευόταν στην κλοπή διαπιστευτηρίων. Η επίθεση στόχευε κυρίως διπλωματικές και στρατιωτικές οντότητες μέσω εκστρατειών phishing.
The Emergence of TinyTurla-NG και Pelmeni Wrapper
Προς τα τέλη του 2023, ο ηθοποιός της απειλής Turla παρατηρήθηκε να χρησιμοποιεί μια νέα κερκόπορτα με το όνομα TinyTurla-NG σε μια εκστρατεία που εκτείνεται σε τρεις μήνες. Η επιχείρηση επίθεσης είχε στόχο ειδικά μη κυβερνητικές οργανώσεις στην Πολωνία. Παρόμοια με τον προκάτοχό του, το TinyTurla-NG λειτουργεί ως μια συμπαγής κερκόπορτα «τελευταία λύση». Έχει αναπτυχθεί στρατηγικά για να παραμείνει αδρανής έως ότου όλοι οι άλλοι μη εξουσιοδοτημένοι μηχανισμοί πρόσβασης ή κερκόπορτας στα παραβιασμένα συστήματα είτε αποτύχουν είτε ανακαλυφθούν.
Τον Φεβρουάριο του 2024, αναλυτές κυβερνοασφάλειας ανακάλυψαν μια νέα καμπάνια Turla που παρουσίαζε καινοτόμες στρατηγικές και μια τροποποιημένη παραλλαγή του Kazuar Trojan. Στη συγκεκριμένη επιχείρηση επίθεσης, η απειλή Kazuar διανεμήθηκε στα στοχευόμενα θύματα μέσω ενός προηγουμένως άτυπου περιτυλίγματος με το όνομα Pelmeni .
Το Turla APT παραμένει μια σημαντική κυβερνοαπειλή παρά τα χρόνια λεπτομερών επιχειρήσεων επίθεσης
Ο όμιλος Turla είναι ένας επίμονος και διαρκής αντίπαλος, με μακρά ιστορία δραστηριοτήτων. Η προέλευσή τους, οι τακτικές και η επιλογή στόχων υποδηλώνουν μια επιχείρηση με καλούς πόρους, υπό την ηγεσία έμπειρων χειριστών. Με τα χρόνια, η Turla ενίσχυσε συνεχώς τα εργαλεία και τις μεθοδολογίες της, υποδεικνύοντας τη δέσμευσή της για συνεχή βελτίωση.
Η απειλή που θέτουν ομάδες όπως η Turla υπογραμμίζει την επιτακτική ανάγκη για τους οργανισμούς και τις κυβερνήσεις να διατηρήσουν την επαγρύπνηση. Αυτό συνεπάγεται την παρακολούθηση των εξελίξεων, την ανταλλαγή πληροφοριών και την εφαρμογή ισχυρών μέτρων ασφαλείας. Τέτοια προληπτικά βήματα επιτρέπουν τόσο σε ομάδες όσο και σε άτομα να ενισχύσουν την άμυνά τους έναντι των απειλών που θέτουν τέτοιοι παράγοντες.
