Turla APT

Turla, također poznata kao Pensive Ursa, Uroburos i Snake, predstavlja sofisticiranu naprednu trajnu prijetnju (APT) koja potječe iz Rusije, s poviješću koja datira najmanje od 2004. i navodnim vezama s ruskom Federalnom sigurnosnom službom (FSB). Poznat po svojim ciljanim upadima i najsuvremenijim taktikama prikrivanja, Turla je stekao reputaciju snažnog i nedostižnog protivnika, pokazujući iznimnu tehničku snagu u orkestriranju tajnih i skrivenih cyber napada.

Tijekom godina, Turla je proširila svoj doseg u više od 45 zemalja, infiltrirajući se u raznolik niz sektora kao što su vladine agencije, diplomatske misije, vojne ustanove, kao i obrazovne, istraživačke i farmaceutske institucije. Osim toga, skupina je bila umiješana u aktivnosti povezane s rusko-ukrajinskim sukobom koji je izbio u veljači 2022., prema izvješćima ukrajinskog CERT-a, što ukazuje na špijunske operacije usmjerene na ukrajinske obrambene interese.

Iako je Turla uglavnom usredotočila svoje špijunske napore na sustave temeljene na Windowsima, pokazala je sposobnost ciljanja na macOS i Linux platforme. Neumoljivim razvojem, Turla je prikupila ogroman arsenal zlonamjernih alata, uključujući ali ne ograničavajući se na Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon i HyperStack i TinyTurla , koji su aktivno korišteni u raznim prijetećim kampanjama .

Turla počinje ciljati na Linux sustave

Do 2014. Turla je već nekoliko godina djelovala u cyber krajoliku, no metoda njezine infekcije ostala je misterij. Istraživanje provedeno iste godine rasvijetlilo je sofisticirani višefazni napad nazvan Epic Turla, otkrivajući kako Turla koristi obitelj malwarea Epic. Ova kampanja iskorištavala je ranjivosti CVE-2013-5065 i CVE-2013-3346, koristeći spear-phishing e-poruke naoružane Adobe PDF exploit-ima zajedno s tehnikama koje koriste Java exploit-e (CVE-2012-1723).

Važan aspekt ove kampanje bilo je Turlino postavljanje naprednih stražnjih vrata kao što je Carbon/Cobra, povremeno koristeći oba kao mehanizam za preokret.

Prethodne operacije Turle uglavnom su bile usmjerene na Windows sustave, ali u kolovozu 2014. krajolik se promijenio kada je Turla prvi put krenula na teritorij Linuxa. Poznata kao Penguin Turla, ova inicijativa je vidjela grupu koja koristi Linux Turla modul koji sadrži C/C++ izvršnu datoteku statički povezanu s više biblioteka, značajno povećavajući veličinu datoteke za ovu konkretnu operaciju.

Turla predstavlja nove prijetnje zlonamjernim softverom u svojim operacijama napada

Godine 2016. grupa poznata kao Waterbug, navodno subjekt pod pokroviteljstvom države, koristila je varijante Trojan.Turla i Trojan.Wipbot za iskorištavanje ranjivosti nultog dana, posebno ciljajući na lokalnu ranjivost eskalacije privilegija Windows kernela NDProxy.sys (CVE-2013 -5065). Prema nalazima istraživanja, napadači su koristili pomno izrađene e-poruke koje su sadržavale nesigurne privitke uz mrežu kompromitiranih web-mjesta za isporuku svojih opakih sadržaja.

Sljedeće godine istraživači su otkrili naprednu iteraciju zlonamjernog softvera Turla - stražnja vrata drugog stupnja identificirana kao Carbon. Započinjanje Carbon napada obično uključuje žrtvu ili primanje e-pošte s krađom identiteta ili nailaženje na kompromitirano web mjesto, kolokvijalno poznato kao pojila.

Nakon toga se instalira backdoor prvog stupnja poput Tavdiga ili Skippera . Po završetku aktivnosti izviđanja, okvir Carbon orkestrira instalaciju svog drugog stupnja stražnjih vrata na kritičnim sustavima. Ovaj okvir se sastoji od dropper-a odgovornog za instaliranje svoje konfiguracijske datoteke, komunikacijske komponente za interakciju s Command and Control (C&C) poslužiteljem, orkestratora za upravljanje zadacima i lateralnim kretanjem unutar mreže i učitavača za izvršavanje orkestratora.

Turlin Kazuar backdoor stupa na scenu

U svibnju 2017. godine istraživači kibernetičke sigurnosti povezali su novootkriveni backdoor trojanac, Kazuar, s grupom Turla. Razvijen korištenjem Microsoft .NET Frameworka, Kazuar se može pohvaliti visoko funkcionalnim skupovima naredbi koji mogu daljinski učitavati dodatne dodatke.

Kazuar radi prikupljanjem informacija o nazivu datoteke sustava i zlonamjernog softvera, uspostavljanjem mutexa kako bi se osiguralo jedinstveno izvršenje i dodavanjem LNK datoteke u mapu za pokretanje sustava Windows.

Skupovi naredbi unutar Kazuara pokazuju sličnosti s onima koji se nalaze u drugim backdoor trojancima. Na primjer, naredba tasklist koristi Windows Management Instrumentation (WMI) upit za dohvaćanje pokrenutih procesa iz Windowsa, dok naredba info prikuplja podatke o otvorenim prozorima. Štoviše, Kazuarova naredba cmd izvršava naredbe pomoću cmd.exe za Windows sustave i /bin/bash za Unix sustave, što ukazuje na njegov dizajn kao višeplatformski zlonamjerni softver koji cilja i Windows i Unix okruženja.

Daljnja istraživanja početkom 2021. otkrila su značajne paralele između stražnjih vrata Sunburst i Kazuar.

U 2017. odvijaju se još Turla Attack kampanje

Turla je predstavio svježi backdoor drugog stupnja pod nazivom Gazer, kodiran u C++, iskorištavajući vodene napade i spear-phishing kampanje za precizno ciljanje žrtava.

Osim svojih poboljšanih stealth sposobnosti, Gazer je pokazao brojne sličnosti s prethodno korištenim stražnjim vratima drugog stupnja kao što su Carbon i Kazuar. Značajna značajka ove kampanje bila je integracija rečenica 'povezanih s videoigrama' unutar koda. Turla je osigurala Gazerov Command and Control (C&C) poslužitelj tako što ga je šifrirala svojom vlasničkom bibliotekom za 3DES i RSA enkripciju.

Turla uključuje prijetnje i infrastrukturu drugih skupina kibernetičkog kriminala

U 2018. izvješće obavještajne službe pokazalo je da je Turla koristila novorazvijene štetne alate, Neuron i Nautilus , uz Snake Rootkit , za ciljanje Windows strojeva, s posebnim fokusom na e-poštu i web poslužitelje. Turla je koristio ugrožene Snake žrtve za skeniranje ASPX ljuski, prenoseći naredbe putem šifriranih vrijednosti HTTP kolačića. Turla je iskoristio ASPX školjke za uspostavljanje početnog pristupa ciljnim sustavima za implementaciju dodatnih alata.

Još jednom u 2018., Turla se okomio na inozemne urede europskih vlada, s ciljem infiltracije vrlo osjetljivih informacija kroz stražnja vrata. Ova kampanja ciljala je Microsoft Outlook i The Bat!, široko korišten klijent e-pošte u istočnoj Europi, preusmjeravajući svu odlaznu e-poštu napadačima. Backdoor je koristio poruke e-pošte za izdvajanje podataka, koristeći posebno izrađene PDF dokumente i koristeći poruke e-pošte kao kanal za svoj Command and Control (C&C) poslužitelj.

U 2019. operateri Turle iskoristili su infrastrukturu OilRiga, APT grupe povezane s Iranom poznate po gađanju vladinih entiteta i organizacija na Bliskom istoku, za provođenje vlastitih operacija napada. Ova kampanja uključivala je implementaciju jako modificirane, prilagođene varijante alata Mimikatz zajedno s novim nizom alata koji sadrže nekoliko novih stražnjih vrata. U kasnijim fazama kampanje, grupa Turla koristila je poseban backdoor Remote Procedure Call (RPC), koji je uključivao kod iz javno dostupnog alata PowerShell Runner za izvršavanje PowerShell skripti bez oslanjanja na powershell.exe.

Nove backdoor prijetnje objavljene tijekom 2020

U ožujku 2020., sigurnosni analitičari primijetili su da Turla koristi napade vodenim kanalima kako bi ciljao na brojne armenske web stranice. Ove su web stranice umetnute s oštećenim JavaScript kodom, iako točne metode pristupa korištene u napadima ostaju neotkrivene.

Naknadno su kompromitirane web-stranice distribuirale kompromitirani JavaScript kod u drugoj fazi kako bi identificirale žrtvu preglednike i nagovorile ih da instaliraju loš instalacijski program za Flash. Turla je zatim iskoristio NetFlash , .NET downloader, i PyFlash za svoju sekundarnu implementaciju zlonamjernog softvera.

Nekoliko mjeseci kasnije, Turla je zaposlio ComRAT v4 , alias Agent.BTZ, kao trojanca za udaljeni pristup (RAT). Ovaj zlonamjerni softver, izrađen korištenjem jezika C++, ima virtualni FAT16 datotečni sustav koji se često koristi za eksfiltraciju osjetljivih dokumenata. Širi se uspostavljenim pristupnim rutama kao što je PowerStallion PowerShell backdoor dok se koriste HTTP i e-pošta kao kanali za naredbu i kontrolu (C&C).

Pred kraj 2020. stručnjaci za kibernetičku sigurnost naišli su na nedokumentirani backdoor i ekstraktor dokumenata pod nazivom Crutch , koji se pripisuje grupi Turla. Ranije verzije Crutcha uključivale su backdoor koji je komunicirao s unaprijed određenim Dropbox računom putem službenog HTTP API-ja.

Ovaj backdoor je imao mogućnosti izvršavanja naredbi vezanih uz manipulaciju datotekama, izvršavanje procesa i uspostavljanje postojanosti putem otmice DLL-a na Google Chromeu, Mozilla Firefoxu ili Microsoft OneDriveu. Značajno, Crutch v4 može se pohvaliti automatiziranom značajkom za učitavanje lokalnih i prijenosnih disk datoteka u Dropbox pohranu, što je olakšano Windows verzijom uslužnog programa Wget, za razliku od prethodnih iteracija koje se oslanjaju na backdoor naredbe.

Turla APT grupa oslobađa zlonamjerni softver TinyTurla i počinje ciljati sredstva u Ukrajini

Pojava stražnjih vrata TinyTurla privukla je pozornost 2021. Ova prijetnja vjerojatno služi kao plan za nepredviđene situacije, omogućavajući održivi pristup sustavima čak i u slučaju primarnog uklanjanja zlonamjernog softvera. Instalacija ovog backdoora je olakšana pomoću skupne datoteke i manifestira se kao servisni DLL pod nazivom w64time.dll, s ciljem oponašanja legitimne datoteke w32time.dll na Windows platformama.

Usred ruske invazije na Ukrajinu, Turla APT je preusmjerio svoj fokus prema ciljevima usklađenim s ruskim interesima u sukobu. U priopćenju Ukrajinskog tima za odgovor na računalne hitne slučajeve (CERT-UA) u srpnju 2023. otkriveno je Turlino korištenje zlonamjernog softvera Capibar i stražnjih vrata Kazuar za špijunske aktivnosti usmjerene na ukrajinska obrambena sredstva. U ovoj operaciji Capibar je angažiran za prikupljanje obavještajnih podataka dok se Kazuar specijalizirao za krađu vjerodajnica. Napad je uglavnom bio usmjeren na diplomatske i vojne entitete kroz phishing kampanje.

Pojava TinyTurla-NG i Pelmeni Wrapper

Krajem 2023., akter prijetnje Turla primijećen je kako koristi novi backdoor pod nazivom TinyTurla-NG u kampanji koja je trajala tri mjeseca. Operacija napada posebno je ciljala na nevladine organizacije u Poljskoj. Slično svom prethodniku, TinyTurla-NG funkcionira kao kompaktna stražnja vrata 'posljednjeg utočišta'. Strateški je postavljen da ostane u stanju mirovanja sve dok svi ostali neovlašteni pristupi ili backdoor mehanizmi na kompromitiranim sustavima ili ne zakažu ili budu otkriveni.

U veljači 2024. analitičari kibernetičke sigurnosti otkrili su novu Turla kampanju koja prikazuje inovativne strategije i modificiranu varijantu trojanca Kazuar. U ovoj konkretnoj operaciji napada, prijetnja Kazuar distribuirana je ciljanim žrtvama putem prethodno nedokumentiranog omotača pod nazivom Pelmeni .

Turla APT ostaje velika kibernetička prijetnja unatoč godinama detaljnih operacija napada

Grupa Turla stoji kao uporan i izdržljiv protivnik, hvaleći se dugim iskustvom u aktivnostima. Njihovo podrijetlo, taktika i izbor meta sugeriraju operaciju s dobrim resursima koju vode vješti operativci. Tijekom godina, Turla je dosljedno poboljšavala svoje alate i metodologije, ukazujući na predanost stalnom usavršavanju.

Prijetnja koju predstavljaju skupine poput Turle naglašava imperativ za organizacije i vlade da zadrže oprez. To podrazumijeva praćenje razvoja događaja, razmjenu obavještajnih podataka i provedbu snažnih sigurnosnih mjera. Takvi proaktivni koraci omogućuju i grupama i pojedincima da osnaže svoju obranu od prijetnji koje predstavljaju takvi akteri.