तुर्ला पिछले दरवाजे
टर्ला एपीटी (एडवांस पर्सिस्टेंट थ्रेट), एक कुख्यात रूसी हैकिंग समूह है, जो अब एक दशक से अधिक समय से काम कर रहा है। उन्हें यूरोबुरोस एपीटी या स्नेक एपीटी भी कहा जाता है। वे उच्च अंत पीड़ितों के लिए एक स्वाद रखने के लिए जाने जाते हैं। यह बताया गया था कि टर्ला एपीटी ने जर्मनी के फेडरल कॉलेज ऑफ पब्लिक एडमिनिस्ट्रेशन में घुसपैठ की थी और फिर, इसके माध्यम से, देश के संघीय विदेश कार्यालय से समझौता करने में कामयाब रहे। इसके अलावा, यह एक बार की पैठ नहीं थी; यह खुलासा किया गया है कि टर्ला एपीटी लगभग पूरे 2017 के लिए जर्मन अधिकारियों के रडार के अधीन था। इस समय के दौरान, हैकिंग समूह सरकारी डेटा को चुरा रहा था और एकत्र कर रहा था। यह प्रभावशाली ऑपरेशन एपीटी के टूल के साथ किया गया था जिसे टर्ला बैकडोर कहा जाता है।
तीन यूरोपीय देशों ने इस रूसी हैकिंग समूह के हमलों की सूचना दी है। लक्ष्य एक बार फिर उनके विदेशी कार्यालय थे। यह मान लेना सुरक्षित है कि तुर्ला एपीटी जासूसी में भारी रूप से शामिल है क्योंकि उनके मुख्य लक्ष्य हमेशा राजनयिक, सैन्य और राज्य के अधिकारी और राजनेता रहे हैं। यह संदेह है कि तुर्ला एपीटी रूसी सरकार से जुड़ा हो सकता है, लेकिन इस जानकारी की पुष्टि होना अभी बाकी है।
माना जाता है कि टर्ला एपीटी के पिछले दरवाजे की उत्पत्ति 2009 में हुई थी। हालांकि, हैकिंग समूह वर्षों से निष्क्रिय नहीं रहा है और अपने पिछले दरवाजे में कई सुधार पेश किए हैं जैसे ईमेल से जुड़ी पीडीएफ फाइल के माध्यम से कमांड प्राप्त करने की धमकी की क्षमता , जिसे 2016 में वापस पेश किया गया था। 2018 में टर्ला एपीटी के पिछले दरवाजे में एक नई सुविधा जोड़ी गई थी - इसे संक्रमित होस्ट पर पावरशेल कमांड निष्पादित करने की क्षमता के साथ अपग्रेड किया गया था।
इस पिछले दरवाजे का यह नवीनतम संस्करण माइक्रोसॉफ्ट आउटलुक में घुसपैठ करने की क्षमता से लैस है। दिलचस्प रूप से पर्याप्त है, टर्ला एपीटी एप्लिकेशन में भेद्यता का उपयोग नहीं करता है, बल्कि इसके बजाय, माइक्रोसॉफ्ट आउटलुक के वैध एमएपीआई (मैसेजिंग एप्लिकेशन प्रोग्रामिंग इंटरफेस) में हेरफेर करता है और इसके माध्यम से अपने इच्छित लक्ष्यों के प्रत्यक्ष संदेशों तक पहुंच प्राप्त करता है। अधिकांश बैकडोर के विपरीत, जो आमतौर पर अपराधियों के कमांड और कंट्रोल सर्वर के माध्यम से कमांड प्राप्त करते हैं, टर्ला बैकडोर को विशेष रूप से तैयार किए गए ईमेल के माध्यम से नियंत्रित किया जाता है, जो कि 2016 में टर्ला एपीटी द्वारा पेश किए गए सुधार के लिए धन्यवाद। टर्ला बैकडोर कई कमांड करने में सक्षम है। जो डेटा एकत्र कर रहे हैं और विभिन्न फाइलों को डाउनलोड और निष्पादित कर रहे हैं। जब यह लगाया जाता है तो यह पिछला दरवाजा बहुत उपयुक्त नहीं है - टर्ला बैकडोर डीएलएल मॉड्यूल (डायनेमिक लिंक लाइब्रेरी) के रूप में है और हार्ड ड्राइव के भीतर कहीं से भी चलने में सक्षम है। इसके अलावा, टर्ला एपीटी लक्षित सिस्टम पर अपने पिछले दरवाजे को स्थापित करने के लिए एक विंडोज़ उपयोगिता (RegSvr32.exe) को नियोजित करता है।
बेशक, इस कैलिबर के हर अत्यधिक कुशल खतरे के रूप में, टर्ला बैकडोर भी बहुत दृढ़ता से सुसज्जित है। पता लगने की संभावना को कम करने के लिए, टर्ला बैकडोर हर समय अपने 'कर्तव्यों' को पूरा नहीं करेगा। इसके बजाय, यह घटक ऑब्जेक्ट मॉडल (COM) के संबंध में एक प्रसिद्ध विंडोज भेद्यता का उपयोग करता है। इस भेद्यता का फायदा उठाकर, पिछले दरवाजे वैध 'outlook.exe' प्रक्रिया में अपने उदाहरणों को इंजेक्ट करने में सक्षम है, इसलिए डीएलएल का उपयोग करने की आवश्यकता को समाप्त कर देता है। इंजेक्शन - एक अटैक वेक्टर जिसे एंटी-वायरस उत्पाद आसानी से पहचान लेते हैं।
माइक्रोसॉफ्ट आउटलुक में घुसपैठ करके, टर्ला बैकडोर अपने शिकार की मैसेजिंग गतिविधि पर मेटाडेटा एकत्र करने में सक्षम है - ईमेल विषय, अटैचमेंट का नाम, प्रेषक और प्राप्तकर्ता। यह डेटा टर्ला बैकडोर द्वारा एकत्र और संग्रहीत किया जाता है और समय-समय पर हमलावर के सर्वर पर स्थानांतरित किया जाता है। टर्ला बैकडोर जैसा खतरा बहुत नुकसान पहुंचा सकता है, खासकर यदि हमलावर संवेदनशील डेटा या संचार को संग्रहीत करने के लिए उपयोग की जाने वाली प्रणाली को संक्रमित करने का प्रबंधन करते हैं और यह स्पष्ट है कि टर्ला एपीटी इन उपयोगकर्ताओं को लक्षित करता है।
डेटा चोरी के अलावा, मैलवेयर को अतिरिक्त फ़ाइलों को डाउनलोड करने या दूषित पावरशेल स्क्रिप्ट को निष्पादित करने का आदेश दिया जा सकता है। अंत में, टर्ला बैकडोर एक खतरा है जो इसकी कार्यक्षमता में रूटकिट के करीब आता है।
