Turla APT

Turla, tuntud ka kui mõtlik Ursa, Uroburos ja Snake, esindab Venemaalt pärit keerulist arenenud püsivat ohtu (APT), mille ajalugu ulatub tagasi vähemalt 2004. aastasse ja millel on väidetavad sidemed Venemaa Föderaalse Julgeolekuteenistusega (FSB). Sihipäraste sissetungide ja tipptasemel varjamistaktika poolest tuntud Turla on teeninud maine kui hirmuäratava ja tabamatu vastase maine, demonstreerides erakordset tehnilist võimekust varjatud ja vargsi küberrünnakute korraldamisel.

Aastate jooksul on Turla laiendanud oma haaret enam kui 45 riigis, imbudes erinevatesse sektoritesse, nagu valitsusasutused, diplomaatilised esindused, sõjaväeasutused, aga ka haridus-, teadus- ja farmaatsiaasutused. Lisaks on rühmitus seotud 2022. aasta veebruaris puhkenud Vene-Ukraina konfliktiga seotud tegevustega, nagu näitavad Ukraina CERT-i teated, mis viitavad Ukraina kaitsehuvidele suunatud spionaažioperatsioonidele.

Kuigi Turla keskendus oma spionaažitegevuses peamiselt Windowsi-põhistele süsteemidele, on see näidanud suutlikkust sihtida macOS-i ja Linuxi platvorme. Läbi lakkamatu arengu on Turla kogunud tohutu hulga pahavaratööriistu, sealhulgas, kuid mitte ainult, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon ja HyperStack ning TinyTurla , mida on aktiivselt kasutatud erinevates ähvardavates kampaaniates. .

Turla hakkab sihtima Linuxi süsteeme

2014. aastaks oli Turla kübermaastikul tegutsenud juba mitu aastat, ometi jäi tema nakatumisviis saladuseks. Samal aastal läbi viidud uuringud valgustasid keerukat mitmeastmelist rünnakut nimega Epic Turla, paljastades, kuidas Turla kasutab Epic pahavara perekonda. See kampaania kasutas turvaauke CVE-2013-5065 ja CVE-2013-3346, võimendades Adobe PDF-i ärakasutamistega varustatud andmepüügimeile ja Java rünnakuid (CVE-2012-1723) kasutavaid veeava tehnikaid.

Selle kampaania tähelepanuväärne aspekt oli Turla täiustatud tagauste, nagu Carbon/Cobra, juurutamine, kasutades aeg-ajalt mõlemat tõrkesiirdemehhanismina.

Varasemad Turla toimingud olid peamiselt suunatud Windowsi süsteemidele, kuid 2014. aasta augustis muutus maastik, kui Turla esimest korda Linuxi territooriumile sisenes. Tuntud kui Penguin Turla, kasutas see algatus Linux Turla moodulit, mis sisaldas C/C++ käivitatavat faili, mis oli staatiliselt seotud mitme teegiga, suurendades oluliselt selle faili suurust selle konkreetse toimingu jaoks.

Turla tutvustab oma ründeoperatsioonides uusi pahavaraohte

2016. aastal kasutas rühmitus nimega Waterbug, mis on väidetavalt riigi sponsoreeritud üksus, nullpäeva haavatavuse ärakasutamiseks versioonide Trojan.Turla ja Trojan.Wipbot , mis oli suunatud eelkõige Windowsi tuuma NDProxy.sys kohaliku privileegide eskalatsiooni haavatavusele (CVE-2013). -5065). Uurimistulemuste kohaselt kasutasid ründajad oma alatu kasuliku koorma edastamiseks hoolikalt koostatud e-kirju, mis sisaldasid ohtlikke manuseid koos ohustatud veebisaitide võrguga.

Järgmisel aastal avastasid teadlased Turla pahavara täiustatud iteratsiooni – teise astme tagaukse, mis on identifitseeritud kui Carbon. Süsinikurünnaku algatamine hõlmab tavaliselt seda, et ohver saab kas andmepüügi e-kirja või komistab ohustatud veebisaidile, mida kõnekeeles tuntakse kui veekogu.

Seejärel paigaldatakse esimese astme tagauks nagu Tavdig või Skipper . Pärast tutvumistoimingute lõpetamist korraldab Carboni raamistik oma teise etapi tagaukse paigaldamise kriitilistele süsteemidele. See raamistik sisaldab konfiguratsioonifaili installimise eest vastutavat tilgutit, kommunikatsioonikomponenti käsu- ja juhtimisserveriga suhtlemiseks, orkestraatorit ülesannete ja külgsuunalise liikumise haldamiseks võrgus ning laadijat orkestraatori käivitamiseks.

Stseenile astub Turla Kazuari tagauks

2017. aasta mais seostasid küberjulgeolekuteadlased äsja avastatud tagaukse troojalase Kazuari Turla grupiga. Microsoft .NET Frameworki abil välja töötatud Kazuaril on väga funktsionaalsed käsukomplektid, mis võimaldavad täiendavaid pistikprogramme kauglaadida.

Kazuar kogub süsteemi ja pahavara failinimeteavet, loob mutexi, et tagada ainsuskäivitus ja lisab LNK-faili Windowsi käivituskausta.

Kazuari käsukomplektid sarnanevad teiste tagaukse troojalastega. Näiteks kasutab ülesannete loendi käsk Windows Management Instrumentationi (WMI) päringut töötavate protsesside toomiseks Windowsist, samal ajal kui käsk info kogub andmeid avatud akende kohta. Lisaks käivitab Kazuari cmd käsklused Windowsi süsteemide jaoks cmd.exe ja Unixi süsteemide jaoks /bin/bash, mis näitab, et see on platvormideülene pahavara, mis sihib nii Windowsi kui ka Unixi keskkondi.

2021. aasta alguses tehtud täiendavad uuringud tõid esile märkimisväärsed paralleelid Sunbursti ja Kazuari tagauste vahel.

Veel 2017. aastal toimuvaid Turla rünnakukampaaniaid

Turla tutvustas värsket teise astme tagaust nimega Gazer, mis on kodeeritud C++ keeles, võimendades ohvrite täpseks sihtimiseks rünnakuid ja andmepüügikampaaniaid.

Lisaks täiustatud varjamisvõimalustele oli Gazeril palju sarnasusi varem kasutatud teise astme tagaustega nagu Carbon ja Kazuar. Selle kampaania tähelepanuväärne omadus oli "videomängudega seotud" lausete integreerimine koodi sisse. Turla kindlustas Gazeri käsu- ja juhtimisserveri (C&C), krüpteerides selle oma 3DES-i ja RSA-krüptimise jaoks mõeldud raamatukoguga.

Turla hõlmab teiste küberkuritegevuse rühmituste ohte ja infrastruktuuri

2018. aastal näitas luurearuanne, et Turla kasutas Windowsi masinate sihtimiseks koos Snake Rootkitiga äsja väljatöötatud kahjulikke tööriistu Neuron ja Nautilus , keskendudes eelkõige meilile ja veebiserveritele. Turla kasutas ohustatud Snake'i ohvreid ASPX-i kestade otsimiseks, edastades käske krüpteeritud HTTP-küpsise väärtuste kaudu. Turla kasutas ASPX-i kestasid, et luua esmane juurdepääs sihtsüsteemidele täiendavate tööriistade juurutamiseks.

Taas 2018. aastal võttis Turla sihiks Euroopa valitsuste välisbürood, eesmärgiga tungida tagaukse kaudu väga tundlikku teavet. See kampaania oli suunatud Microsoft Outlookile ja Ida-Euroopas laialdaselt kasutatavale meiliklientile The Bat!, mis suunas kõik väljaminevad meilid ründajatele. Tagauks kasutas andmete eraldamiseks meilisõnumeid, kasutades spetsiaalselt koostatud PDF-dokumente ja meilisõnumeid oma käsu- ja juhtimisserveri kanalina.

2019. aastal kasutasid Turla operaatorid oma ründeoperatsioonide läbiviimiseks ära Iraaniga seotud APT grupi OilRig infrastruktuuri, mis on tuntud Lähis-Ida valitsusüksuste ja organisatsioonide sihtimise poolest. See kampaania hõlmas Mimikatzi tööriista tugevalt muudetud kohandatud variandi juurutamist koos uute tööriistade hulgaga, millel on mitu värsket tagaust. Kampaania hilisemates etappides kasutas Turla grupp eraldiseisvat Remote Procedure Call (RPC) tagaust, mis sisaldas avalikult juurdepääsetava PowerShell Runneri tööriista koodi, et käivitada PowerShelli skripte ilma powershell.exe-le tuginemata.

2020. aasta jooksul avaldati uued tagaukse ohud

2020. aasta märtsis jälgisid turbeanalüütikud, et Turla kasutas paljude Armeenia veebisaitide sihikule suunatud rünnakuid. Nendele veebisaitidele süstiti rikutud JavaScripti koodi, kuigi rünnakutes kasutatud täpseid juurdepääsumeetodeid ei avaldata.

Seejärel levitasid ohustatud veebilehed teise etapi rikutud JavaScripti koodi, et tuvastada ohvrite brauserid ja meelitada neid halva Flashi installija installima. Seejärel kasutas Turla oma teisese pahavara juurutamiseks NetFlashi , .NET-i allalaadijat ja PyFlashi .

Mõni kuu hiljem kasutas Turla kaugjuurdepääsu troojana (RAT) ComRAT v4 , alias Agent.BTZ. Sellel C++ abil loodud pahavaral on virtuaalne FAT16 failisüsteem, mida kasutatakse sageli tundlike dokumentide väljafiltreerimiseks. Seda levitatakse väljakujunenud juurdepääsuteede kaudu, nagu PowerStallion PowerShelli tagauks, kasutades samal ajal HTTP-d ja e-posti käsu- ja juhtimiskanalitena (C&C).

2020. aasta lõpu poole komistasid küberjulgeolekueksperdid Turla grupile omistatud dokumentideta tagaukse ja dokumentide väljatõmbajale nimega Crutch . Crutchi varasemad versioonid sisaldasid tagaust, mis suhtles ametliku HTTP API kaudu eelnevalt kindlaksmääratud Dropboxi kontoga.

Sellel tagauksel oli võimalus täita käske, mis on seotud failidega manipuleerimise, protsesside täitmise ja püsivuse loomisega DLL-i kaaperdamise kaudu Google Chrome'is, Mozilla Firefoxis või Microsoft OneDrive'is. Eelkõige on Crutch v4 uhke automaatse funktsiooniga kohalike ja eemaldatavate draivifailide Dropboxi salvestusruumi üleslaadimiseks, mida hõlbustab Wgeti utiliidi Windowsi versioon, erinevalt eelmistest iteratsioonidest, mis sõltuvad tagaukse käskudest.

Turla APT grupp vabastab TinyTurla pahavara ja alustab varade sihtimist Ukrainas

TinyTurla tagaukse esilekerkimine pälvis tähelepanu 2021. aastal. See oht toimib tõenäoliselt situatsiooniplaanina, mis võimaldab püsivat juurdepääsu süsteemidele isegi esmase pahavara eemaldamise korral. Selle tagaukse installimist hõlbustab partiifail ja see avaldub teenuse DLL-ina nimega w64time.dll, mille eesmärk on jäljendada Windowsi platvormidel seaduslikku faili w32time.dll.

Keset Venemaa sissetungi Ukrainasse suunas Turla APT oma fookuse ümber sihtmärkidele, mis olid kooskõlas Venemaa huvidega konfliktis. Ukraina arvutihädareageerimisrühma (CERT-UA) 2023. aasta juulis avaldatud teadaandes avalikustati Turla Capibari pahavara ja Kazuari tagaukse kasutamine spionaažitegevuseks, mis on suunatud Ukraina kaitsevaradele. Selles operatsioonis kasutati Capibarit luureandmete kogumiseks, samal ajal kui Kazuar spetsialiseerus volikirjade vargustele. Rünnak oli suunatud andmepüügikampaaniate kaudu peamiselt diplomaatiliste ja sõjaväeliste üksuste vastu.

TinyTurla-NG ja Pelmeni Wrapperi tekkimine

2023. aasta lõpupoole täheldati, et Turla ohunäitleja kasutas kolm kuud kestnud kampaanias uut tagaust nimega TinyTurla-NG. Rünnakuoperatsioon oli suunatud konkreetselt Poola valitsusvälistele organisatsioonidele. Sarnaselt oma eelkäijaga toimib TinyTurla-NG kompaktse "viimase abinõuna" tagauksena. See on strateegiliselt juurutatud, et jääda seisma, kuni kõik muud volitamata juurdepääsu- või tagaukse mehhanismid ohustatud süsteemides on kas ebaõnnestunud või avastanud.

2024. aasta veebruaris leidsid küberturvalisuse analüütikud värske Turla kampaania, mis tutvustas uuenduslikke strateegiaid ja Kazuari trooja muudetud varianti. Selles konkreetses ründeoperatsioonis levitati Kazuari ähvardusi sihikule suunatud ohvritele läbi varem dokumentideta ümbrise nimega Pelmeni .

Vaatamata aastatepikkusele üksikasjalikule rünnakuoperatsioonile on Turla APT endiselt suur küberoht

Turla rühmitus on visa ja püsiv vastane, kellel on pikaajaline tegevus. Nende päritolu, taktika ja sihtmärkide valik viitavad hästi varustatud operatsioonile, mida juhivad vilunud operatiivtöötajad. Aastate jooksul on Turla järjekindlalt täiustanud oma tööriistu ja metoodikat, mis näitab pühendumust pidevale täiustamisele.

Turla-suguste rühmituste oht rõhutab organisatsioonide ja valitsuste valvsuse säilitamise vajadust. See eeldab arengutega kursis olemist, luureandmete vahetamist ja jõuliste turvameetmete rakendamist. Sellised ennetavad sammud võimaldavad nii rühmadel kui ka üksikisikutel tugevdada oma kaitset selliste osalejate poolt põhjustatud ohtude vastu.