Turla APT
टुरला, जिसे पेंसिव उर्सा, उरोबुरोस और स्नेक के नाम से भी जाना जाता है, रूस से उत्पन्न एक परिष्कृत एडवांस्ड पर्सिस्टेंट थ्रेट (एपीटी) का प्रतिनिधित्व करता है, जिसका इतिहास कम से कम 2004 से पहले का है और इसका रूसी संघीय सुरक्षा सेवा (एफएसबी) से कथित संबंध है। अपने लक्षित घुसपैठ और अत्याधुनिक गुप्त रणनीति के लिए प्रसिद्ध, टुरला ने गुप्त और गुपचुप साइबर हमलों को अंजाम देने में असाधारण तकनीकी कौशल का प्रदर्शन करते हुए एक दुर्जेय और मायावी प्रतिद्वंद्वी के रूप में ख्याति अर्जित की है।
पिछले कुछ वर्षों में, टर्ला ने सरकारी एजेंसियों, राजनयिक मिशनों, सैन्य प्रतिष्ठानों के साथ-साथ शैक्षिक, अनुसंधान और फार्मास्युटिकल संस्थानों जैसे विविध क्षेत्रों में घुसपैठ करते हुए 45 से अधिक देशों में अपनी पहुंच बढ़ा दी है। इसके अतिरिक्त, यूक्रेन सीईआरटी की रिपोर्ट के अनुसार, समूह को फरवरी 2022 में शुरू हुए रूसी-यूक्रेन संघर्ष से संबंधित गतिविधियों में फंसाया गया है, जो यूक्रेनी रक्षा हितों के लिए जासूसी अभियानों का संकेत देता है।
हालाँकि टर्ला ने अपने जासूसी प्रयासों को मुख्य रूप से विंडोज़-आधारित सिस्टम पर केंद्रित किया है, लेकिन इसने macOS और Linux प्लेटफ़ॉर्म को लक्षित करने की क्षमताओं का प्रदर्शन किया है। अथक विकास के माध्यम से, टरला ने मैलवेयर उपकरणों का एक विशाल शस्त्रागार एकत्र किया है, जिसमें कैपिबार, कज़ुअर, स्नेक , कोपिलुवाक , क्विटकेनरी/ट्यूनस, क्रच , कॉमआरएटी , कार्बन और हाइपरस्टैक और टिनीटरला शामिल हैं, लेकिन इन्हीं तक सीमित नहीं हैं, जिन्हें विभिन्न खतरनाक अभियानों में सक्रिय रूप से नियोजित किया गया है। .
विषयसूची
Turla ने लिनक्स सिस्टम को लक्ष्य बनाना शुरू किया
2014 तक, टरला पहले से ही कई वर्षों से साइबर परिदृश्य में काम कर रहा था, फिर भी इसके संक्रमण का तरीका एक रहस्य बना हुआ था। उसी वर्ष किए गए शोध ने एपिक टर्ला नामक एक परिष्कृत मल्टी-स्टेज हमले पर प्रकाश डाला, जिसमें टर्ला द्वारा एपिक मैलवेयर परिवार के उपयोग का खुलासा किया गया। इस अभियान ने कमजोरियों सीवीई-2013-5065 और सीवीई-2013-3346 का फायदा उठाया, जावा एक्सप्लॉइट्स (सीवीई-2012-1723) को नियोजित करने वाली वाटरिंग-होल तकनीकों के साथ-साथ एडोब पीडीएफ कारनामों से लैस स्पीयर-फ़िशिंग ईमेल का लाभ उठाया।
इस अभियान का एक उल्लेखनीय पहलू टर्ला द्वारा कार्बन/कोबरा जैसे उन्नत बैकडोर की तैनाती थी, कभी-कभी दोनों को फेलओवर तंत्र के रूप में उपयोग किया जाता था।
पहले टरला ऑपरेशन मुख्य रूप से विंडोज सिस्टम को लक्षित करते थे, लेकिन अगस्त 2014 में, जब टरला ने पहली बार लिनक्स क्षेत्र में प्रवेश किया तो परिदृश्य बदल गया। पेंगुइन टुरला के नाम से मशहूर, इस पहल में समूह ने एक लिनक्स टुरला मॉड्यूल को नियोजित किया, जिसमें कई पुस्तकालयों के खिलाफ स्थिर रूप से जुड़े सी/सी++ निष्पादन योग्य की सुविधा थी, जिससे इस विशेष ऑपरेशन के लिए इसका फ़ाइल आकार काफी बढ़ गया।
Turla ने अपने आक्रमण अभियानों में नए मैलवेयर खतरों का परिचय दिया है
2016 में, वाटरबग के नाम से जाना जाने वाला एक समूह, जो कथित तौर पर एक राज्य-प्रायोजित इकाई है, ने शून्य-दिन की भेद्यता का फायदा उठाने के लिए ट्रोजन.टुरला और ट्रोजन.विपबॉट के वेरिएंट को नियोजित किया, विशेष रूप से विंडोज कर्नेल NDProxy.sys स्थानीय विशेषाधिकार वृद्धि भेद्यता (CVE-2013) को लक्षित किया। -5065). शोध के निष्कर्षों के अनुसार, हमलावरों ने अपने नापाक पेलोड को वितरित करने के लिए समझौता की गई वेबसाइटों के नेटवर्क के साथ-साथ असुरक्षित अनुलग्नकों वाले सावधानीपूर्वक तैयार किए गए ईमेल का उपयोग किया।
अगले वर्ष, शोधकर्ताओं ने टर्ला मैलवेयर के एक उन्नत पुनरावृत्ति को उजागर किया - कार्बन के रूप में पहचाने जाने वाले दूसरे चरण का बैकडोर। कार्बन हमले की शुरुआत में आम तौर पर पीड़ित को या तो स्पीयर-फ़िशिंग ईमेल प्राप्त होता है या एक समझौता की गई वेबसाइट पर ठोकर लगती है, जिसे आम बोलचाल की भाषा में वॉटरिंग होल के रूप में जाना जाता है।
इसके बाद, टैवडिग या स्किपर जैसा प्रथम चरण का पिछला दरवाजा स्थापित किया जाता है। टोही गतिविधियों के पूरा होने पर, कार्बन फ्रेमवर्क महत्वपूर्ण प्रणालियों पर अपने दूसरे चरण के पिछले दरवाजे की स्थापना की योजना बनाता है। इस ढांचे में इसकी कॉन्फ़िगरेशन फ़ाइल को स्थापित करने के लिए जिम्मेदार एक ड्रॉपर, कमांड और कंट्रोल (सी एंड सी) सर्वर के साथ बातचीत करने के लिए एक संचार घटक, नेटवर्क के भीतर कार्यों और पार्श्व आंदोलन के प्रबंधन के लिए एक ऑर्केस्ट्रेटर और ऑर्केस्ट्रेटर को निष्पादित करने के लिए एक लोडर शामिल है।
तुरला का कज़ुअर पिछला दरवाज़ा दृश्य में प्रवेश करता है
मई 2017 में, साइबर सुरक्षा शोधकर्ताओं ने एक नए खोजे गए बैकडोर ट्रोजन, कज़ुअर को तुर्ला समूह से जोड़ा। Microsoft .NET फ्रेमवर्क का उपयोग करके विकसित, काज़ुअर अत्यधिक कार्यात्मक कमांड सेट का दावा करता है जो अतिरिक्त प्लग-इन को दूरस्थ रूप से लोड करने में सक्षम है।
कज़ुअर सिस्टम और मैलवेयर फ़ाइल नाम की जानकारी इकट्ठा करके, एकल निष्पादन सुनिश्चित करने के लिए एक म्यूटेक्स स्थापित करके और विंडोज स्टार्टअप फ़ोल्डर में एक एलएनके फ़ाइल जोड़कर संचालित होता है।
कज़ुअर के भीतर कमांड सेट अन्य बैकडोर ट्रोजन में पाए जाने वाले समानताओं को प्रदर्शित करते हैं। उदाहरण के लिए, टास्कलिस्ट कमांड विंडोज़ से चल रही प्रक्रियाओं को पुनः प्राप्त करने के लिए विंडोज़ मैनेजमेंट इंस्ट्रुमेंटेशन (डब्ल्यूएमआई) क्वेरी का उपयोग करता है, जबकि जानकारी कमांड खुली विंडोज़ पर डेटा एकत्र करता है। इसके अलावा, कज़ुआर का cmd कमांड विंडोज़ सिस्टम के लिए cmd.exe और यूनिक्स सिस्टम के लिए /bin/bash का उपयोग करके कमांड निष्पादित करता है, जो विंडोज़ और यूनिक्स दोनों वातावरणों को लक्षित करने वाले क्रॉस-प्लेटफ़ॉर्म मैलवेयर के रूप में इसके डिज़ाइन को दर्शाता है।
2021 की शुरुआत में आगे के शोध ने सनबर्स्ट और काज़ुअर बैकडोर के बीच उल्लेखनीय समानताएं उजागर कीं।
2017 में और अधिक तुरला हमले अभियान चल रहे हैं
टर्ला ने गेज़र नामक एक नया दूसरा चरण वाला बैकडोर पेश किया, जिसे C++ में कोड किया गया है, जो पीड़ितों को सटीक रूप से लक्षित करने के लिए वाटरिंग-होल हमलों और स्पीयर-फ़िशिंग अभियानों का लाभ उठाता है।
अपनी बढ़ी हुई स्टील्थ क्षमताओं के अलावा, गेजर ने कार्बन और कज़ुआर जैसे पहले से नियोजित दूसरे चरण के बैकडोर के साथ कई समानताएं प्रदर्शित कीं। इस अभियान की एक उल्लेखनीय विशेषता कोड के भीतर 'वीडियो-गेम-संबंधित' वाक्यों का एकीकरण था। टर्ला ने गेजर के कमांड और कंट्रोल (सी एंड सी) सर्वर को 3डीईएस और आरएसए एन्क्रिप्शन के लिए अपनी मालिकाना लाइब्रेरी के साथ एन्क्रिप्ट करके सुरक्षित किया।
टरला अन्य साइबर अपराध समूहों से खतरों और बुनियादी ढांचे को शामिल करता है
2018 में, एक खुफिया रिपोर्ट ने संकेत दिया कि टरला ने मेल और वेब सर्वर पर विशेष ध्यान देने के साथ, विंडोज मशीनों को लक्षित करने के लिए स्नेक रूटकिट के साथ-साथ नए विकसित हानिकारक उपकरण, न्यूरॉन और नॉटिलस को नियोजित किया। टुरला ने एन्क्रिप्टेड HTTP कुकी मानों के माध्यम से कमांड संचारित करते हुए एएसपीएक्स शेल को स्कैन करने के लिए समझौता किए गए सांप पीड़ितों का उपयोग किया। टर्ला ने अतिरिक्त उपकरणों की तैनाती के लिए लक्ष्य प्रणालियों तक प्रारंभिक पहुंच स्थापित करने के लिए एएसपीएक्स शेल का लाभ उठाया।
2018 में एक बार फिर, तुर्ला ने पिछले दरवाजे से अत्यधिक संवेदनशील जानकारी में घुसपैठ करने के उद्देश्य से यूरोपीय सरकारों के विदेशी कार्यालयों पर अपनी नजरें गड़ा दीं। इस अभियान ने माइक्रोसॉफ्ट आउटलुक और पूर्वी यूरोप में व्यापक रूप से उपयोग किए जाने वाले मेल क्लाइंट द बैट! को लक्षित किया, जो सभी आउटगोइंग ईमेल को हमलावरों पर पुनर्निर्देशित करता है। पिछले दरवाजे ने डेटा निकालने के लिए ईमेल संदेशों का उपयोग किया, विशेष रूप से तैयार किए गए पीडीएफ दस्तावेजों को नियोजित किया और ईमेल संदेशों को अपने कमांड और कंट्रोल (सी एंड सी) सर्वर के लिए एक नाली के रूप में उपयोग किया।
2019 में, टर्ला ऑपरेटरों ने अपने स्वयं के हमले के संचालन के लिए, मध्य पूर्व में सरकारी संस्थाओं और संगठनों को लक्षित करने के लिए जाने जाने वाले ईरान से जुड़े एक एपीटी समूह, ऑयलरिग के बुनियादी ढांचे का शोषण किया। इस अभियान में कई नए बैकडोर वाले उपकरणों की एक नई श्रृंखला के साथ-साथ Mimikatz टूल के एक भारी संशोधित, कस्टम संस्करण की तैनाती शामिल थी। अभियान के बाद के चरणों में, टर्ला समूह ने एक अलग रिमोट प्रोसीजर कॉल (आरपीसी) बैकडोर का उपयोग किया, जिसमें पॉवरशेल.exe पर भरोसा किए बिना पॉवरशेल स्क्रिप्ट को निष्पादित करने के लिए सार्वजनिक रूप से सुलभ पॉवरशेल रनर टूल से कोड शामिल किया गया।
पूरे 2020 में पिछले दरवाजे से नए खतरे जारी किए गए
मार्च 2020 में, सुरक्षा विश्लेषकों ने टुरला को कई अर्मेनियाई वेबसाइटों को लक्षित करने के लिए वाटरिंग-होल हमलों को नियोजित करते हुए देखा। इन वेबसाइटों में दूषित जावास्क्रिप्ट कोड डाला गया था, हालांकि हमलों में उपयोग की जाने वाली पहुंच के सटीक तरीकों का खुलासा नहीं किया गया है।
इसके बाद, समझौता किए गए वेब पेजों ने पीड़ित ब्राउज़रों की पहचान करने और उन्हें खराब फ़्लैश इंस्टॉलर स्थापित करने के लिए प्रेरित करने के लिए दूसरे चरण के समझौता किए गए जावास्क्रिप्ट कोड को वितरित किया। इसके बाद Turla ने अपने द्वितीयक मैलवेयर परिनियोजन के लिए NetFlash , एक .NET डाउनलोडर और PyFlash का लाभ उठाया।
कुछ महीने बाद, टर्ला ने रिमोट एक्सेस ट्रोजन (RAT) के रूप में ComRAT v4 , उर्फ Agent.BTZ को नियोजित किया। C++ का उपयोग करके तैयार किया गया यह मैलवेयर एक वर्चुअल FAT16 फ़ाइल सिस्टम की सुविधा देता है जिसका उपयोग अक्सर संवेदनशील दस्तावेज़ों को बाहर निकालने के लिए किया जाता है। HTTP और ईमेल को कमांड और कंट्रोल (C&C) चैनलों के रूप में नियोजित करते हुए इसे PowerStallion PowerShell बैकडोर जैसे स्थापित पहुंच मार्गों के माध्यम से प्रसारित किया जाता है।
2020 के अंत में, साइबर सुरक्षा विशेषज्ञों की नज़र क्रच नामक एक गैर-दस्तावेजी पिछले दरवाजे और दस्तावेज़ निकालने वाले पर पड़ी, जिसका श्रेय टुरला समूह को दिया जाता है। क्रच के पुराने संस्करणों में आधिकारिक HTTP एपीआई के माध्यम से पूर्व-निर्धारित ड्रॉपबॉक्स खाते के साथ संचार करने वाला एक पिछला दरवाजा शामिल था।
इस पिछले दरवाजे में Google Chrome, मोज़िला फ़ायरफ़ॉक्स या Microsoft OneDrive पर DLL अपहरण के माध्यम से फ़ाइल हेरफेर, प्रक्रिया निष्पादन और दृढ़ता स्थापित करने से संबंधित आदेशों को निष्पादित करने की क्षमता थी। विशेष रूप से, क्रच v4 ड्रॉपबॉक्स स्टोरेज में स्थानीय और हटाने योग्य ड्राइव फ़ाइलों को अपलोड करने के लिए एक स्वचालित सुविधा का दावा करता है, जो कि बैकडोर कमांड पर निर्भर पिछले पुनरावृत्तियों के विपरीत, Wget उपयोगिता के विंडोज संस्करण द्वारा सुविधाजनक है।
टरला एपीटी ग्रुप ने टाइनीटरला मैलवेयर जारी किया और यूक्रेन में संपत्तियों को निशाना बनाना शुरू किया
टाइनीटूरला बैकडोर का उद्भव 2021 में ध्यान में आया। यह खतरा संभवतः एक आकस्मिक योजना के रूप में कार्य करता है, जो प्राथमिक मैलवेयर हटाने की स्थिति में भी सिस्टम तक निरंतर पहुंच को सक्षम बनाता है। इस बैकडोर की स्थापना एक बैच फ़ाइल के माध्यम से की जाती है और w64time.dll नाम की एक सेवा DLL के रूप में प्रकट होती है, जिसका लक्ष्य विंडोज़ प्लेटफ़ॉर्म पर वैध w32time.dll फ़ाइल की नकल करना है।
यूक्रेन पर रूसी आक्रमण के बीच, तुर्ला एपीटी ने संघर्ष में रूस के हितों से जुड़े लक्ष्यों की ओर अपना ध्यान केंद्रित किया। जुलाई 2023 में यूक्रेन की कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-यूए) की एक घोषणा में यूक्रेनी रक्षा संपत्तियों को लक्षित करने वाली जासूसी गतिविधियों के लिए टुरला द्वारा कैपिबार मैलवेयर और काज़ुअर के पिछले दरवाजे के उपयोग का खुलासा किया गया। इस ऑपरेशन में, कैपिबार को खुफिया जानकारी जुटाने के लिए नियुक्त किया गया था, जबकि काज़ुआर को क्रेडेंशियल चोरी में विशेषज्ञता हासिल थी। हमले में मुख्य रूप से फ़िशिंग अभियानों के माध्यम से राजनयिक और सैन्य संस्थाओं को निशाना बनाया गया।
टाइनीटर्ला-एनजी और पेल्मेनी रैपर का उद्भव
2023 के अंत में, टरला थ्रेट एक्टर को तीन महीने के अभियान में टिनीटरला-एनजी नामक एक नए बैकडोर का उपयोग करते हुए देखा गया था। हमले की कार्रवाई में विशेष रूप से पोलैंड में गैर-सरकारी संगठनों को निशाना बनाया गया। अपने पूर्ववर्ती के समान, TinyTurla-NG एक कॉम्पैक्ट 'अंतिम उपाय' पिछले दरवाजे के रूप में कार्य करता है। इसे तब तक निष्क्रिय रहने के लिए रणनीतिक रूप से तैनात किया गया है जब तक कि समझौता किए गए सिस्टम पर अन्य सभी अनधिकृत पहुंच या पिछले दरवाजे तंत्र या तो विफल नहीं हो जाते या खोजे नहीं जाते।
फरवरी 2024 में, साइबर सुरक्षा विश्लेषकों ने नवीन रणनीतियों और काज़ुअर ट्रोजन के एक संशोधित संस्करण को प्रदर्शित करने वाले एक नए टरला अभियान का खुलासा किया। इस विशेष हमले के ऑपरेशन में, कज़ुअर खतरे को पेल्मेनी नामक पहले से अज्ञात रैपर के माध्यम से लक्षित पीड़ितों तक वितरित किया गया था।
वर्षों के विस्तृत हमले के संचालन के बावजूद तुर्ला एपीटी एक प्रमुख साइबर खतरा बना हुआ है
तुर्ला समूह एक निरंतर और स्थायी प्रतिद्वंद्वी के रूप में खड़ा है, जो गतिविधियों का एक लंबा ट्रैक रिकॉर्ड रखता है। उनकी उत्पत्ति, रणनीति और लक्ष्य की पसंद कुशल कार्यकर्ताओं के नेतृत्व में एक अच्छी तरह से संसाधनयुक्त ऑपरेशन का सुझाव देती है। पिछले कुछ वर्षों में, टरला ने लगातार अपने उपकरणों और कार्यप्रणाली को बढ़ाया है, जो निरंतर शोधन के प्रति प्रतिबद्धता का संकेत देता है।
तुरला जैसे समूहों द्वारा उत्पन्न खतरा संगठनों और सरकारों के लिए सतर्कता बनाए रखने की अनिवार्यता को रेखांकित करता है। इसमें घटनाक्रमों से अवगत रहना, खुफिया जानकारी का आदान-प्रदान करना और मजबूत सुरक्षा उपायों को लागू करना शामिल है। इस तरह के सक्रिय कदम समूहों और व्यक्तियों दोनों को ऐसे अभिनेताओं द्वारा उत्पन्न खतरों के खिलाफ अपनी सुरक्षा को मजबूत करने में सक्षम बनाते हैं।
