Turla APT
Turla, joka tunnetaan myös nimellä Pensive Ursa, Uroburos ja Snake, edustaa Venäjältä peräisin olevaa kehittynyttä Advanced Persistent Threat (APT) -järjestöä, jonka historia ulottuu ainakin vuoteen 2004 ja jonka väitetään olevan siteitä Venäjän liittovaltion turvallisuuspalveluun (FSB). Kohdistetuista tunkeutumisistaan ja huippuluokan salaamistaktiikoistaan tunnettu Turla on ansainnut maineen mahtavana ja vaikeasti havaittavissa olevana vihollisena, joka on osoittanut poikkeuksellista teknistä kykyä järjestää salaisia ja vaikeita kyberhyökkäyksiä.
Vuosien varrella Turla on laajentanut kattavuuttaan yli 45 maahan soluttautuen useille eri aloille, kuten valtion virastoille, diplomaattisille edustustoille, sotilaslaitoksille sekä koulutus-, tutkimus- ja lääkelaitoksille. Lisäksi ryhmä on ollut osallisena helmikuussa 2022 puhjenneen Venäjän ja Ukrainan väliseen konfliktiin liittyvissä toimissa Ukrainan CERT:n raporttien mukaan, mikä viittaa Ukrainan puolustusintresseihin suunnattuihin vakoiluoperaatioihin.
Vaikka Turla keskitti vakoilutyönsä pääasiassa Windows-pohjaisiin järjestelmiin, se on osoittanut kykynsä kohdistaa macOS- ja Linux-alustoihin. Säälimättömän kehityksen myötä Turla on kerännyt valtavan arsenaalin haittaohjelmatyökaluja, kuten Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon ja HyperStack sekä TinyTurla , joita on käytetty aktiivisesti erilaisissa uhkaavissa kampanjoissa. .
Sisällysluettelo
Turla aloittaa kohdistamisen Linux-järjestelmiin
Vuoteen 2014 mennessä Turla oli toiminut kybermaisemassa jo useita vuosia, mutta sen tartuntatapa jäi mysteeriksi. Samana vuonna tehty tutkimus valaisi monivaiheisen hyökkäyksen nimeltä Epic Turla, joka paljastaa Turlan Epic-haittaohjelmaperheen hyödyntämisen. Tämä kampanja hyödynsi haavoittuvuuksia CVE-2013-5065 ja CVE-2013-3346 hyödyntäen Adobe PDF -hyödykkeillä varusteltuja phishing-sähköposteja Java-hyödykkeitä (CVE-2012-1723) käyttävien vesiaukkotekniikoiden ohella.
Merkittävä piirre tässä kampanjassa oli Turlan edistyneiden takaovien, kuten Carbon/Cobra, käyttöönotto, joissa molempia toisinaan käytettiin vikasietomekanismina.
Aiemmat Turlan toiminnot kohdistuivat pääasiassa Windows-järjestelmiin, mutta elokuussa 2014 maisema muuttui, kun Turla uskaltautui Linuxin alueelle ensimmäistä kertaa. Tämä Penguin Turla -nimellä tunnetussa aloitteessa ryhmä käytti Linux Turla -moduulia, joka sisältää C/C++-suoritettavan tiedoston, joka oli linkitetty staattisesti useisiin kirjastoihin, mikä suurensi merkittävästi sen tiedostokokoa tässä toiminnossa.
Turla esittelee uusia haittaohjelmauhkia hyökkäystoimintoihinsa
Vuonna 2016 Waterbug-nimellä tunnettu ryhmä, jonka väitetään olevan valtion tukema yhteisö, käytti Trojan.Turlan ja Trojan.Wipbotin muunnelmia hyödyntääkseen nollapäivän haavoittuvuutta, erityisesti Windows-ytimen NDProxy.sys paikallisen käyttöoikeuksien eskalaatiohaavoittuvuuden (CVE-2013) kanssa. -5065). Tutkimustulosten mukaan hyökkääjät käyttivät huolella valmistettuja sähköposteja, jotka sisälsivät vaarallisia liitteitä, sekä vaarantuneiden verkkosivustojen verkostoa ilkeiden hyötykuormien toimittamiseen.
Seuraavana vuonna tutkijat paljastivat Turla-haittaohjelman edistyneen iteraation - toisen vaiheen takaoven, joka tunnistettiin nimellä Carbon. Hiilihyökkäyksen aloittaminen tarkoittaa yleensä sitä, että uhri joko saa keihään phishing-sähköpostin tai törmää vaarantuneelle verkkosivustolle, joka tunnetaan puhekielenä vesiaukkona.
Myöhemmin asennetaan ensimmäisen vaiheen takaovi, kuten Tavdig tai Skipper . Tiedustelutoimien päätyttyä Carbon-kehys järjestää toisen vaiheen takaoven asennuksen kriittisiin järjestelmiin. Tämä kehys sisältää dropperin, joka on vastuussa konfigurointitiedoston asentamisesta, viestintäkomponentin, joka on vuorovaikutuksessa Command and Control (C&C) -palvelimen kanssa, orkestraattorin tehtävien ja sivuttaisliikkeen hallintaan verkossa sekä latauslaitteen orkestraattorin suorittamiseen.
Turlan Kazuar-takaovi astuu paikalle
Toukokuussa 2017 kyberturvallisuustutkijat yhdistivät Turla-ryhmään hiljattain löydetyn takaoven troijalaisen Kazuarin . Microsoft .NET Frameworkin avulla kehitetty Kazuar tarjoaa erittäin toimivia komentojoukkoja, jotka pystyvät lataamaan lisälaajennuksia etänä.
Kazuar toimii keräämällä järjestelmä- ja haittaohjelmien tiedostonimitietoja, luomalla mutexin varmistaakseen yksittäisen suorituksen ja lisäämällä LNK-tiedoston Windowsin käynnistyskansioon.
Kazuarin komentosarjat ovat samankaltaisia kuin muiden takaoven troijalaisten komentosarjat. Esimerkiksi tasklist-komento käyttää Windows Management Instrumentation (WMI) -kyselyä käynnissä olevien prosessien hakemiseen Windowsista, kun taas info-komento kerää tietoja avoimista ikkunoista. Lisäksi Kazuarin cmd-komento suorittaa komentoja käyttämällä cmd.exe-tiedostoa Windows-järjestelmissä ja /bin/bash-komentoa Unix-järjestelmissä, mikä osoittaa, että se on suunniteltu monialustaiseksi haittaohjelmaksi, joka kohdistuu sekä Windows- että Unix-ympäristöihin.
Vuoden 2021 alussa tehdyt lisätutkimukset paljastivat merkittäviä yhtäläisyyksiä Sunburstin ja Kazuarin takaovien välillä.
Lisää Turla Attack -kampanjoita vuonna 2017
Turla esitteli tuoreen toisen vaiheen takaoven nimeltä Gazer, joka on koodattu C++-kielellä ja hyödyntää hyökkäyksiä ja keihään kalastelukampanjoita uhrien kohdistamiseksi tarkasti.
Parannettujen varkaintoimintojensa lisäksi Gazer osoitti lukuisia yhtäläisyyksiä aiemmin käytettyihin toisen vaiheen takaoviin, kuten Carbon ja Kazuar. Tämän kampanjan huomionarvoinen piirre oli "videopeleihin liittyvien" lauseiden integrointi koodiin. Turla turvasi Gazerin Command and Control (C&C) -palvelimen salaamalla sen omalla kirjastollaan 3DES- ja RSA-salausta varten.
Turla yhdistää uhkia ja infrastruktuuria muista kyberrikollisryhmistä
Vuonna 2018 tiedusteluraportti osoitti, että Turla käytti äskettäin kehitettyjä haitallisia työkaluja, Neuronia ja Nautilusta , Snake Rootkitin ohella Windows-koneiden kohdentamiseen, erityisesti sähköpostiin ja Web-palvelimiin. Turla hyödynsi vaarantuneita Snake-uhreja ASPX-kuorien etsimiseen ja välitti komentoja salattujen HTTP-evästearvojen kautta. Turla hyödynsi ASPX-kuoret luodakseen alustavan pääsyn kohdejärjestelmiin lisätyökalujen käyttöönottoa varten.
Taas vuonna 2018 Turla suuntasi katseensa Euroopan hallitusten ulkoministeriöihin pyrkien soluttautumaan erittäin arkaluontoiseen tietoon takaoven kautta. Tämä kampanja kohdistui Microsoft Outlookiin ja Itä-Euroopassa laajalti käytettyyn sähköpostiohjelmaan The Bat!:iin, jotka ohjasivat kaikki lähtevät sähköpostit hyökkääjille. Takaovi käytti sähköpostiviestejä tiedon poimimiseen, käyttämällä erityisesti muotoiltuja PDF-dokumentteja ja käyttämällä sähköpostiviestejä kanavana komento- ja ohjauspalvelimelle (C&C).
Vuonna 2019 Turlan operaattorit käyttivät Iraniin liittyvän APT-ryhmän OilRigin infrastruktuuria, joka tunnetaan kohdistamisestaan Lähi-idän valtion yksiköihin ja organisaatioihin omien hyökkäysoperaatioiden suorittamiseen. Tämä kampanja sisälsi Mimikatz -työkalun voimakkaasti muokatun, mukautetun muunnelman käyttöönoton sekä uusia työkaluja, joissa oli useita uusia takaovia. Kampanjan myöhemmissä vaiheissa Turla-ryhmä käytti erillistä Remote Procedure Call (RPC) -takaovea, joka sisälsi koodin julkisesti saatavilla olevasta PowerShell Runner -työkalusta PowerShell-skriptien suorittamiseen ilman powershell.exe-tiedostoa.
Uusia takaoven uhkia julkaistiin vuoden 2020 aikana
Maaliskuussa 2020 tietoturva-analyytikot havaitsivat, että Turla käytti hyökkäyksiä useille armenialaisille verkkosivustoille. Näille verkkosivustoille on syötetty vioittunutta JavaScript-koodia, vaikka hyökkäyksissä käytetyt tarkat pääsytavat ovat edelleen paljastamatta.
Myöhemmin vaarantuneet verkkosivut jakoivat toisen vaiheen vaarantunutta JavaScript-koodia uhrien selaimien tunnistamiseksi ja houkuttelemiseksi asentamaan huonon Flash-asennusohjelman. Turla hyödynsi sitten NetFlashia , .NET-latausohjelmaa ja PyFlashia toissijaiseen haittaohjelmien käyttöönottoon.
Muutamaa kuukautta myöhemmin Turla otti käyttöön ComRAT v4:n , alias Agent.BTZ:n, etäkäyttötroijalaisena (RAT). Tässä C++:lla luodussa haittaohjelmassa on virtuaalinen FAT16-tiedostojärjestelmä, jota käytetään usein arkaluonteisten asiakirjojen suodattamiseen. Sitä levitetään vakiintuneiden pääsyreittien, kuten PowerStallion PowerShell -takaoven, kautta, samalla kun HTTP:tä ja sähköpostia käytetään Command and Control (C&C) -kanavina.
Vuoden 2020 lopulla kyberturvallisuusasiantuntijat törmäsivät dokumentoimattomaan takaoveen ja dokumenttien poimijaan nimeltä Crutch , joka johtui Turla-konsernista. Crutchin aikaisemmat versiot sisälsivät takaoven, joka kommunikoi ennalta määrätyn Dropbox-tilin kanssa virallisen HTTP API:n kautta.
Tämä takaovi pystyi suorittamaan komentoja, jotka liittyvät tiedostojen käsittelyyn, prosessien suorittamiseen ja pysyvyyden varmistamiseen DLL-kaappauksen kautta Google Chromessa, Mozilla Firefoxissa tai Microsoft OneDrivessa. Huomionarvoista on, että Crutch v4:ssä on automaattinen ominaisuus, jonka avulla voit ladata paikallisia ja irrotettavia asematiedostoja Dropbox-tallennustilaan Wget-apuohjelman Windows-version avulla, toisin kuin aiemmat iteraatiot, jotka perustuvat takaoven komentoihin.
Turla APT Group vapauttaa TinyTurla-haittaohjelmat ja alkaa kohdistaa resursseja Ukrainaan
TinyTurla-takaoven ilmaantuminen herätti huomiota vuonna 2021. Tämä uhka toimii todennäköisesti varasuunnitelmana, joka mahdollistaa jatkuvan pääsyn järjestelmiin myös ensisijaisen haittaohjelmien poiston yhteydessä. Tämän takaoven asennusta helpottaa erätiedosto, ja se ilmenee palvelu-DLL-tiedostona nimeltä w64time.dll, jonka tarkoituksena on jäljitellä laillista w32time.dll-tiedostoa Windows-alustoilla.
Keskellä Venäjän hyökkäystä Ukrainaan Turlan APT suuntasi fokuksensa kohti Venäjän etuja konfliktissa. Ukrainan Computer Emergency Response Team (CERT-UA) heinäkuussa 2023 antama ilmoitus paljasti Turlan Capibar-haittaohjelman ja Kazuar-takaoven käytön Ukrainan puolustusomaisuuteen kohdistuvaan vakoilutoimintaan. Tässä operaatiossa Capibar työskenteli tiedustelutietojen keräämiseen, kun taas Kazuar erikoistui valtakirjavarkauksiin. Hyökkäys kohdistui pääasiassa diplomaatti- ja sotilasyksiköihin tietojenkalastelukampanjoiden kautta.
TinyTurla-NG:n ja Pelmeni Wrapperin synty
Vuoden 2023 lopulla Turlan uhkatekijän havaittiin käyttävän uutta TinyTurla-NG-nimistä takaovea kolmen kuukauden mittaisessa kampanjassa. Hyökkäys kohdistui erityisesti Puolan kansalaisjärjestöihin. Kuten edeltäjänsä, TinyTurla-NG toimii kompaktina "viimeisenä keinona" -takana. Se on strategisesti otettu käyttöön pysymään lepotilassa, kunnes kaikki muut luvaton pääsy- tai takaovimekanismit vaarantuneissa järjestelmissä ovat joko epäonnistuneet tai löydetty.
Helmikuussa 2024 kyberturvallisuusanalyytikot paljastivat uuden Turla-kampanjan, joka esitteli innovatiivisia strategioita ja Kazuar-troijalaisen muunneltua varianttia. Tässä nimenomaisessa hyökkäysoperaatiossa Kazuar-uhka jaettiin kohteena oleville uhreille aiemmin dokumentoimattoman Pelmeni -nimisen kääreen kautta.
Turlan APT on edelleen suuri kyberuhka vuosien yksityiskohtaisista hyökkäysoperaatioista huolimatta
Turla-ryhmä on sitkeä ja kestävä vastustaja, jolla on pitkä kokemus toiminnasta. Niiden alkuperä, taktiikka ja kohteiden valinta viittaavat hyvin resursoituun operaatioon, jota johtaa taitavia toimihenkilöitä. Vuosien varrella Turla on jatkuvasti kehittänyt työkalujaan ja menetelmiään, mikä osoittaa sitoutumista jatkuvaan parantamiseen.
Turlan kaltaisten ryhmien aiheuttama uhka korostaa organisaatioiden ja hallitusten välttämättömyyttä ylläpitää valppautta. Tämä edellyttää kehityksen perässä pysymistä, tiedustelutietojen vaihtoa ja tehokkaiden turvatoimien toteuttamista. Tällaiset ennakoivat toimet antavat sekä ryhmille että yksilöille mahdollisuuden vahvistaa puolustustaan tällaisten toimijoiden aiheuttamia uhkia vastaan.
