Turla APT

A Turla, más néven Pensive Ursa, Uroburos és Snake, egy Oroszországból származó kifinomult fejlett állandó fenyegetést (APT) képvisel, amelynek története legalább 2004-ig nyúlik vissza, és állítólagos kapcsolatban áll az Orosz Szövetségi Biztonsági Szolgálattal (FSB). A célzott behatolásairól és az élvonalbeli lopakodó taktikáiról híres Turla félelmetes és megfoghatatlan ellenfélként szerzett hírnevet, és kivételes technikai képességeket mutatott be a titkos és lopakodó kibertámadások megszervezésében.

Az évek során a Turla több mint 45 országra kiterjesztette hatókörét, és beszivárgott számos szektorba, például kormányzati szervekbe, diplomáciai képviseletekbe, katonai intézményekbe, valamint oktatási, kutatási és gyógyszerészeti intézményekbe. Ezenkívül a csoport az ukrán CERT jelentései szerint a 2022 februárjában kirobbant orosz-ukrán konfliktushoz kapcsolódó tevékenységekben is érintett, ami ukrán védelmi érdekekre irányuló kémműveletekre utal.

Bár a Turla túlnyomórészt Windows-alapú rendszerekre összpontosította kémkedését, bebizonyította, hogy képes megcélozni a macOS és Linux platformokat. A könyörtelen fejlődésnek köszönhetően a Turla kártevő eszközök hatalmas arzenálját halmozta fel, többek között, de nem kizárólagosan a Capibar, a Kazuar, a Snake , a Kopiluwak , a QUIETCANARY/Tunnus, a Crutch , a ComRAT , a Carbon és a HyperStack és a TinyTurla , amelyeket aktívan alkalmaztak különböző fenyegető kampányokban. .

A Turla elkezdi megcélozni a Linux rendszereket

2014-re a Turla már több éve működött a kibertéren, de a fertőzés módja továbbra is rejtély maradt. Ugyanebben az évben végzett kutatások fényt derítettek egy kifinomult, többlépcsős támadásra, az Epic Turla névre, feltárva az Epic malware család Turla általi felhasználását. Ez a kampány kihasználta a CVE-2013-5065 és CVE-2013-3346 biztonsági réseket, kihasználva az Adobe PDF-exploitokkal felvértezett adathalász e-maileket, valamint a Java exploitokat (CVE-2012-1723) alkalmazó vízhiányos technikákat.

A kampány figyelemre méltó aspektusa volt, hogy a Turla fejlett hátsó ajtókat, például Carbon/Cobra-t vezetett be, alkalmanként mindkettőt feladatátvételi mechanizmusként alkalmazva.

A Turla korábbi műveletei túlnyomórészt a Windows rendszereket célozták meg, ám 2014 augusztusában a táj megváltozott, amikor a Turla először merészkedett Linux területére. A Penguin Turla néven ismert kezdeményezés során a csoport egy Linux Turla modult alkalmazott, amely C/C++ futtatható fájlt tartalmaz statikusan összekapcsolva több könyvtárral, jelentősen megnövelve a fájlméretet ehhez a művelethez.

A Turla új rosszindulatú programokat vezet be támadási műveletei során

2016-ban egy Waterbug néven ismert csoport, amely állítólag államilag támogatott entitás, a Trojan.Turla és Trojan.Wipbot változatait alkalmazta egy nulladik napi sebezhetőség kihasználására, különösen a Windows Kernel NDProxy.sys helyi jogosultság-kiterjesztésének sebezését (CVE-2013) célozva. -5065). A kutatási eredmények szerint a támadók aprólékosan kidolgozott, nem biztonságos mellékleteket tartalmazó e-maileket használtak fel a feltört webhelyek hálózata mellett, hogy kézbesítsék aljas hasznos terheiket.

A következő évben a kutatók felfedezték a Turla malware fejlett iterációját – a Carbonként azonosított második lépcsős hátsó ajtót. A szén-dioxid-támadás kezdeményezése általában azzal jár, hogy az áldozat vagy egy lándzsás adathalász e-mailt kap, vagy egy feltört webhelyre botlik, amit a köznyelvben víznyelőnek neveznek.

Ezt követően egy első lépcsős hátsó ajtót telepítenek, mint például a Tavdig vagy a Skipper . A felderítési tevékenységek befejezése után a Carbon keretrendszer megszervezi a második lépcsős hátsó ajtó telepítését a kritikus rendszerekre. Ez a keretrendszer tartalmaz egy droppert, amely a konfigurációs fájl telepítéséért felelős, egy kommunikációs összetevőt a Command and Control (C&C) szerverrel való interakcióhoz, egy hangszerelőt a feladatok és a hálózaton belüli oldalirányú mozgások kezelésére, valamint egy betöltőt az orchestrator végrehajtásához.

Turla Kazuar hátsó ajtója belép a színre

2017 májusában a kiberbiztonsági kutatók egy újonnan felfedezett hátsó trójai programot, a Kazuart összekapcsolták a Turla csoporttal. A Microsoft .NET-keretrendszerrel kifejlesztett Kazuar rendkívül funkcionális parancskészletekkel büszkélkedhet, amelyek képesek további beépülő modulok távoli betöltésére.

A Kazuar úgy működik, hogy összegyűjti a rendszer- és a rosszindulatú programfájlok nevét, mutex-et hoz létre az egyedi végrehajtás érdekében, és egy LNK-fájlt ad hozzá a Windows indító mappájához.

A Kazuaron belüli parancskészletek hasonlóságot mutatnak más hátsó ajtós trójai programokkal. Például a Tasklist parancs egy Windows Management Instrumentation (WMI) lekérdezést használ a futó folyamatok lekéréséhez a Windows rendszerből, míg az info parancs a nyitott ablakokon gyűjt adatokat. Ezenkívül a Kazuar cmd parancsa a cmd.exe fájl segítségével hajtja végre a parancsokat Windows rendszereken és a /bin/bash segítségével Unix rendszereken, jelezve, hogy a tervezése többplatformos rosszindulatú program, amely Windows és Unix környezetet is megcéloz.

A 2021 elején végzett további kutatások figyelemre méltó párhuzamokat tártak fel a Sunburst és a Kazuar hátsóajtó között.

További Turla támadási kampányok zajlanak 2017-ben

A Turla bemutatta a Gazer nevű, C++-ban kódolt új, második lépcsős backdoort, amely támadásokat és lándzsás adathalász kampányokat használ az áldozatok pontos megcélzására.

A továbbfejlesztett lopakodó képességein kívül a Gazer számos hasonlóságot mutatott a korábban alkalmazott második fokozatú hátsó ajtókkal, mint például a Carbon és a Kazuar. A kampány egyik figyelemre méltó jellemzője a „videojátékokkal kapcsolatos” mondatok kódon belüli integrálása volt. A Turla úgy biztosította a Gazer Command and Control (C&C) szerverét, hogy saját 3DES és RSA titkosítási könyvtárával titkosította azt.

A Turla más kiberbűnözési csoportok fenyegetéseit és infrastruktúráját foglalja magában

2018-ban egy titkosszolgálati jelentés jelezte, hogy a Turla újonnan kifejlesztett káros eszközöket, a Neuront és a Nautilust használta a Snake Rootkit mellett a Windows-gépek megcélzására, különös tekintettel a levelező- és webszerverekre. A Turla a feltört Snake áldozatait használta fel az ASPX-héjak keresésére, és titkosított HTTP cookie-értékeken keresztül továbbította a parancsokat. A Turla az ASPX parancsértelmezőket használta fel, hogy kezdeti hozzáférést biztosítson a célrendszerekhez további eszközök telepítéséhez.

A Turla 2018-ban ismét az európai kormányok külügyi hivatalait vette célba, hogy egy hátsó ajtón keresztül beszivárogjon rendkívül érzékeny információkba. Ez a kampány a Microsoft Outlookot és a Kelet-Európában széles körben használt levelezőprogramot, a The Bat!-t célozta meg, és minden kimenő e-mailt átirányított a támadókhoz. A hátsó ajtó e-mail üzeneteket használt az adatok kinyerésére, speciálisan kialakított PDF-dokumentumok felhasználásával, és e-mail üzeneteket használt a Command and Control (C&C) szerver csatornájaként.

2019-ben a Turla üzemeltetői kihasználták az OilRig, egy Iránhoz köthető APT-csoport infrastruktúráját, amely arról ismert, hogy kormányzati szerveket és szervezeteket céloz meg a Közel-Keleten saját támadási műveleteik végrehajtására. Ez a kampány magában foglalta a Mimikatz eszköz egy erősen módosított, egyedi változatának bevezetését, valamint egy új eszköztárat, amely számos új hátsó ajtót tartalmaz. A kampány későbbi szakaszaiban a Turla csoport egy különálló Remote Procedure Call (RPC) hátsó ajtót használt, amely a nyilvánosan elérhető PowerShell Runner eszköz kódját tartalmazta a PowerShell-szkriptek végrehajtására anélkül, hogy a powershell.exe-re támaszkodna.

Új Backdoor Threats 2020-ban jelent meg

2020 márciusában biztonsági elemzők megfigyelték, hogy Turla támadásokat alkalmaz számos örmény webhelyre. Ezeket a webhelyeket sérült JavaScript-kóddal fecskendezték be, bár a támadások során használt pontos hozzáférési módszereket nem hozták nyilvánosságra.

Ezt követően a feltört weboldalak második lépcsőben feltört JavaScript-kódot terjesztettek, hogy azonosítsák az áldozat böngészőket, és rávegyék őket egy rossz Flash-telepítő telepítésére. A Turla ezután a NetFlash-t , egy .NET-letöltőt és a PyFlash-t használta fel másodlagos rosszindulatú programok telepítéséhez.

Néhány hónappal később a Turla a ComRAT v4-et , más néven Agent.BTZ-t alkalmazta távelérési trójaiként (RAT). Ez a C++ használatával készült rosszindulatú program egy virtuális FAT16 fájlrendszert tartalmaz, amelyet gyakran használnak az érzékeny dokumentumok kiszűrésére. Terjesztése bevált hozzáférési útvonalakon, például a PowerStallion PowerShell hátsó ajtón keresztül történik, miközben a HTTP-t és az e-mailt Command and Control (C&C) csatornákként alkalmazzák.

2020 vége felé a kiberbiztonsági szakértők a Turla csoportnak tulajdonított Crutch nevű, dokumentálatlan hátsó ajtóra és dokumentumkivonóba bukkantak. A Crutch korábbi verziói tartalmaztak egy hátsó ajtót, amely egy előre meghatározott Dropbox fiókkal kommunikált a hivatalos HTTP API-n keresztül.

Ez a hátsó ajtó képes volt végrehajtani a fájlkezeléssel, a folyamatok végrehajtásával és a DLL-eltérítéssel a Google Chrome-on, a Mozilla Firefox-on vagy a Microsoft OneDrive-on keresztüli tartósság megteremtésével kapcsolatos parancsokat. Nevezetesen, a Crutch v4 olyan automatizált funkcióval büszkélkedhet, amellyel helyi és cserélhető meghajtófájlokat tölthet fel a Dropbox tárolóba, amit a Wget segédprogram Windows-verziója könnyít meg, ellentétben a korábbi, hátsó ajtó parancsokra támaszkodó iterációkkal.

A Turla APT csoport felszabadítja a TinyTurla rosszindulatú programokat, és megkezdi az eszközök célzását Ukrajnában

A TinyTurla hátsó ajtó megjelenésére 2021-ben figyeltek fel. Ez a fenyegetés valószínűleg készenléti tervként szolgál, amely lehetővé teszi a rendszerekhez való tartós hozzáférést még az elsődleges rosszindulatú programok eltávolítása esetén is. Ennek a hátsó ajtónak a telepítését egy kötegfájl segíti elő, és a w64time.dll nevű szolgáltatási DLL-ként jelenik meg, amelynek célja a legitim w32time.dll fájl utánzása Windows platformokon.

Az ukrajnai orosz invázió közepette a Turla APT olyan célpontokra irányította a fókuszát, amelyek összhangban állnak Oroszország konfliktusbeli érdekeivel. Az ukrán Computer Emergency Response Team (CERT-UA) 2023. júliusi bejelentése felfedte, hogy a Turla a Capibar malware-t és a Kazuar backdoort kémtevékenységre használta ukrán védelmi eszközökre. Ebben a műveletben Capibart hírszerzésre alkalmazták, míg Kazuar a hitelesítő adatok ellopására szakosodott. A támadás főként diplomáciai és katonai szervezeteket céloz meg adathalász kampányok révén.

A TinyTurla-NG és a Pelmeni Wrapper megjelenése

2023 vége felé megfigyelték, hogy a turlai fenyegetettség szereplője egy új, TinyTurla-NG nevű hátsó ajtót alkalmaz egy három hónapig tartó kampányban. A támadás kifejezetten a lengyelországi nem kormányzati szervezeteket célozta meg. Elődjéhez hasonlóan a TinyTurla-NG kompakt "utolsó mentsvár" hátsó ajtóként működik. Stratégiailag úgy van telepítve, hogy alvó állapotban maradjon mindaddig, amíg az összes többi jogosulatlan hozzáférési vagy hátsó ajtó mechanizmus meghibásodik vagy fel nem fedezik a feltört rendszereken.

2024 februárjában a kiberbiztonsági elemzők új Turla kampányt tártak fel, amely innovatív stratégiákat és a Kazuar trójai módosított változatát mutatta be. Ebben a konkrét támadási műveletben a Kazuar fenyegetést egy Pelmeni nevű, korábban nem dokumentált csomagolóeszközön keresztül juttatták el a megcélzott áldozatokhoz.

A Turla APT továbbra is jelentős kiberfenyegetést jelent az évekig tartó részletes támadási műveletek ellenére

A Turla csoport kitartó és kitartó ellenfélként áll, és hosszú tapasztalattal büszkélkedhet. Eredetük, taktikájuk és a célpontok megválasztása azt sugallja, hogy az ügyes ügynökök által vezetett, jól erőforrásokkal ellátott művelet. Az évek során a Turla folyamatosan fejlesztette eszközeit és módszertanát, jelezve a folyamatos tökéletesítés iránti elkötelezettséget.

Az olyan csoportok által jelentett fenyegetés, mint a Turla, rávilágít arra, hogy a szervezetek és a kormányok éberségben maradjanak. Ez magában foglalja a fejlemények követését, a hírszerzési információk cseréjét és a robusztus biztonsági intézkedések végrehajtását. Az ilyen proaktív lépések lehetővé teszik mind a csoportok, mind az egyének számára, hogy megerősítsék védekezésüket az ilyen szereplők által jelentett fenyegetésekkel szemben.