Turla APT

Turla, conosciuta anche come Pensive Ursa, Uroburos e Snake, rappresenta una sofisticata minaccia persistente avanzata (APT) originaria della Russia, con una storia che risale almeno al 2004 e presunti legami con il servizio di sicurezza federale russo (FSB). Rinomato per le sue intrusioni mirate e le tattiche furtive all'avanguardia, Turla si è guadagnato la reputazione di avversario formidabile e sfuggente, dimostrando un'eccezionale abilità tecnica nell'orchestrare attacchi informatici segreti e furtivi.

Nel corso degli anni, Turla ha esteso la sua portata in più di 45 paesi, infiltrandosi in una vasta gamma di settori come agenzie governative, missioni diplomatiche, istituti militari, nonché istituzioni educative, di ricerca e farmaceutiche. Inoltre, il gruppo è stato implicato in attività legate al conflitto russo-ucraino scoppiato nel febbraio 2022, secondo i rapporti del CERT Ucraina, che indicano operazioni di spionaggio dirette agli interessi della difesa ucraina.

Sebbene Turla abbia concentrato i suoi sforzi di spionaggio prevalentemente sui sistemi basati su Windows, ha dimostrato capacità di prendere di mira le piattaforme macOS e Linux. Attraverso uno sviluppo incessante, Turla ha accumulato un formidabile arsenale di strumenti malware, inclusi ma non limitati a Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon e HyperStack e TinyTurla , che sono stati attivamente impiegati in varie campagne minacciose. .

Turla inizia a prendere di mira i sistemi Linux

Nel 2014 Turla operava già da diversi anni nel panorama informatico, ma il metodo con cui veniva infettato rimaneva un mistero. Una ricerca condotta nello stesso anno ha fatto luce su un sofisticato attacco in più fasi denominato Epic Turla, svelando l'utilizzo da parte di Turla della famiglia di malware Epic. Questa campagna ha sfruttato le vulnerabilità CVE-2013-5065 e CVE-2013-3346, sfruttando e-mail di spear-phishing armate di exploit Adobe PDF insieme a tecniche watering-hole che impiegano exploit Java (CVE-2012-1723).

Un aspetto degno di nota di questa campagna è stato l'implementazione da parte di Turla di backdoor avanzate come Carbon/Cobra, utilizzandole occasionalmente entrambe come meccanismo di failover.

Le precedenti operazioni di Turla miravano prevalentemente ai sistemi Windows, ma nell'agosto 2014 il panorama è cambiato quando Turla si è avventurata nel territorio Linux per la prima volta. Conosciuta come Penguin Turla, questa iniziativa ha visto il gruppo impiegare un modulo Linux Turla caratterizzato da un eseguibile C/C++ collegato staticamente a più librerie, aumentando significativamente la dimensione del file per questa particolare operazione.

Turla introduce nuove minacce malware nelle sue operazioni di attacco

Nel 2016, un gruppo noto come Waterbug, presumibilmente un'entità sponsorizzata dallo stato, ha utilizzato varianti di Trojan.Turla e Trojan.Wipbot per sfruttare una vulnerabilità zero-day, prendendo di mira specificamente la vulnerabilità di escalation dei privilegi locali NDProxy.sys del kernel di Windows (CVE-2013 -5065). Secondo i risultati della ricerca, gli aggressori hanno utilizzato e-mail meticolosamente predisposte contenenti allegati non sicuri insieme a una rete di siti Web compromessi per consegnare i loro payload nefasti.

L'anno successivo, i ricercatori hanno scoperto un'iterazione avanzata del malware Turla, una backdoor di seconda fase identificata come Carbon. L'avvio di un attacco Carbon in genere comporta che la vittima riceva un'e-mail di spear phishing o si imbatte in un sito Web compromesso, colloquialmente noto come wateringhole.

Successivamente viene installata una backdoor di primo livello come Tavdig o Skipper . Al termine delle attività di ricognizione, il framework Carbon orchestra l'installazione della sua backdoor di seconda fase sui sistemi critici. Questo framework comprende un dropper responsabile dell'installazione del file di configurazione, un componente di comunicazione per interagire con il server di comando e controllo (C&C), un orchestratore per la gestione delle attività e del movimento laterale all'interno della rete e un caricatore per l'esecuzione dell'orchestratore.

La porta sul retro di Kazuar di Turla entra in scena

Nel maggio 2017, i ricercatori di sicurezza informatica hanno collegato un trojan backdoor appena scoperto, Kazuar, al gruppo Turla. Sviluppato utilizzando Microsoft .NET Framework, Kazuar vanta set di comandi altamente funzionali in grado di caricare in remoto plug-in aggiuntivi.

Kazuar opera raccogliendo informazioni sul sistema e sui nomi dei file malware, stabilendo un mutex per garantire un'esecuzione singola e aggiungendo un file LNK alla cartella di avvio di Windows.

I set di comandi di Kazuar presentano somiglianze con quelli presenti in altri trojan backdoor. Ad esempio, il comando tasklist utilizza una query WMI (Strumentazione gestione Windows) per recuperare i processi in esecuzione da Windows, mentre il comando info raccoglie dati sulle finestre aperte. Inoltre, il comando cmd di Kazuar esegue comandi utilizzando cmd.exe per i sistemi Windows e /bin/bash per i sistemi Unix, indicando la sua progettazione come malware multipiattaforma destinato sia agli ambienti Windows che Unix.

Ulteriori ricerche all'inizio del 2021 hanno svelato notevoli parallelismi tra le backdoor Sunburst e Kazuar.

Altre campagne di attacco Turla avranno luogo nel 2017

Turla ha introdotto una nuova backdoor di seconda fase chiamata Gazer, codificata in C++, che sfrutta gli attacchi watering-hole e le campagne di spear-phishing per colpire con precisione le vittime.

Oltre alle sue capacità furtive migliorate, Gazer ha mostrato numerose somiglianze con backdoor di secondo stadio precedentemente utilizzati come Carbon e Kazuar. Una caratteristica notevole di questa campagna è stata l'integrazione di frasi "relative ai videogiochi" all'interno del codice. Turla ha protetto il server Command and Control (C&C) di Gazer crittografandolo con la sua libreria proprietaria per la crittografia 3DES e RSA.

Turla incorpora minacce e infrastrutture di altri gruppi di criminalità informatica

Nel 2018, un rapporto dell’intelligence ha indicato che Turla ha utilizzato strumenti dannosi di nuova concezione, Neuron e Nautilus , insieme a Snake Rootkit , per prendere di mira le macchine Windows, con particolare attenzione ai server di posta e Web. Turla ha utilizzato le vittime di Snake compromesse per cercare shell ASPX, trasmettendo comandi tramite valori di cookie HTTP crittografati. Turla ha sfruttato le shell ASPX per stabilire l'accesso iniziale ai sistemi di destinazione per la distribuzione di strumenti aggiuntivi.

Anche nel 2018 Turla ha messo gli occhi sugli uffici esteri dei governi europei, con l’obiettivo di infiltrare informazioni altamente sensibili attraverso una backdoor. Questa campagna ha preso di mira Microsoft Outlook e The Bat!, un client di posta ampiamente utilizzato nell'Europa orientale, reindirizzando tutte le e-mail in uscita agli aggressori. La backdoor utilizzava messaggi di posta elettronica per estrarre dati, impiegando documenti PDF appositamente predisposti e utilizzando i messaggi di posta elettronica come canale per il proprio server di comando e controllo (C&C).

Nel 2019, gli operatori di Turla hanno sfruttato l’infrastruttura di OilRig, un gruppo APT associato all’Iran noto per aver preso di mira entità e organizzazioni governative in Medio Oriente, per condurre le proprie operazioni di attacco. Questa campagna prevedeva l'implementazione di una variante personalizzata e fortemente modificata dello strumento Mimikatz insieme a una nuova gamma di strumenti con diverse nuove backdoor. Nelle fasi successive della campagna, il gruppo Turla ha utilizzato una backdoor RPC (Remote Procedure Call) distinta, incorporando il codice dello strumento PowerShell Runner accessibile al pubblico per eseguire script PowerShell senza fare affidamento su powershell.exe.

Nuove minacce backdoor rilasciate nel corso del 2020

Nel marzo 2020, gli analisti della sicurezza hanno osservato che Turla utilizzava attacchi watering-hole per prendere di mira numerosi siti web armeni. A questi siti Web è stato iniettato codice JavaScript corrotto, sebbene i metodi precisi di accesso utilizzati negli attacchi rimangano sconosciuti.

Successivamente, le pagine Web compromesse hanno distribuito codice JavaScript compromesso di seconda fase per identificare i browser delle vittime e indurli a installare un programma di installazione Flash non valido. Turla ha quindi sfruttato NetFlash , un downloader .NET, e PyFlash per la distribuzione secondaria del malware.

Pochi mesi dopo, Turla utilizzò ComRAT v4 , alias Agent.BTZ, come Trojan di accesso remoto (RAT). Questo malware, realizzato utilizzando C++, presenta un file system virtuale FAT16 spesso utilizzato per esfiltrare documenti sensibili. Viene diffuso attraverso percorsi di accesso stabiliti come la backdoor PowerStallion PowerShell, utilizzando HTTP ed e-mail come canali di comando e controllo (C&C).

Verso la fine del 2020, gli esperti di sicurezza informatica si sono imbattuti in una backdoor ed estrattore di documenti senza documenti denominata Crutch , attribuita al gruppo Turla. Le versioni precedenti di Crutch includevano una backdoor che comunicava con un account Dropbox predeterminato tramite l'API HTTP ufficiale.

Questa backdoor possedeva capacità per eseguire comandi relativi alla manipolazione di file, all'esecuzione di processi e alla creazione di persistenza tramite il dirottamento DLL su Google Chrome, Mozilla Firefox o Microsoft OneDrive. In particolare, Crutch v4 vanta una funzionalità automatizzata per caricare file di unità locali e rimovibili nell'archivio Dropbox, facilitata dalla versione Windows dell'utilità Wget, a differenza delle iterazioni precedenti che facevano affidamento sui comandi backdoor.

Il gruppo APT Turla scatena il malware TinyTurla e inizia a prendere di mira le risorse in Ucraina

L’emergere della backdoor TinyTurla ha attirato l’attenzione nel 2021. Questa minaccia probabilmente funge da piano di emergenza, consentendo l’accesso prolungato ai sistemi anche in caso di rimozione del malware primario. L'installazione di questa backdoor è facilitata tramite un file batch e si manifesta come una DLL di servizio denominata w64time.dll, con l'obiettivo di imitare il file legittimo w32time.dll sulle piattaforme Windows.

Nel mezzo dell’invasione russa dell’Ucraina, l’APT Turla ha reindirizzato la sua attenzione verso obiettivi in linea con gli interessi della Russia nel conflitto. Un annuncio del Computer Emergency Response Team of Ukraine (CERT-UA) nel luglio 2023 ha rivelato l'utilizzo da parte di Turla del malware Capibar e della backdoor Kazuar per attività di spionaggio rivolte alle risorse della difesa ucraina. In questa operazione, Capibar è stato impiegato per la raccolta di informazioni mentre Kazuar si è specializzato nel furto di credenziali. L’attacco ha preso di mira soprattutto entità diplomatiche e militari attraverso campagne di phishing.

L'emergere di TinyTurla-NG e Pelmeni Wrapper

Verso la fine del 2023, l’autore della minaccia Turla è stato osservato impiegare una nuova backdoor denominata TinyTurla-NG in una campagna durata tre mesi. L’operazione di attacco ha preso di mira specificamente le organizzazioni non governative in Polonia. Similmente al suo predecessore, TinyTurla-NG funziona come una backdoor compatta di "ultima risorsa". È strategicamente distribuito per rimanere inattivo fino a quando tutti gli altri meccanismi di accesso non autorizzati o backdoor sui sistemi compromessi non falliscono o vengono scoperti.

Nel febbraio 2024, gli analisti della sicurezza informatica hanno portato alla luce una nuova campagna Turla che mostrava strategie innovative e una variante modificata del trojan Kazuar. In questa particolare operazione di attacco, la minaccia Kazuar è stata distribuita alle vittime mirate attraverso un wrapper precedentemente non documentato denominato Pelmeni .

L'APT Turla rimane una grave minaccia informatica nonostante anni di operazioni di attacco dettagliate

Il gruppo Turla si pone come un avversario persistente e duraturo, vantando un lungo track record di attività. Le loro origini, tattiche e scelta degli obiettivi suggeriscono un'operazione dotata di risorse adeguate e guidata da operatori esperti. Nel corso degli anni, Turla ha costantemente migliorato i propri strumenti e le proprie metodologie, indicando un impegno verso un continuo perfezionamento.

La minaccia rappresentata da gruppi come Turla sottolinea l’imperativo per le organizzazioni e i governi di mantenere la vigilanza. Ciò implica rimanere al passo con gli sviluppi, scambiare informazioni e implementare solide misure di sicurezza. Tali misure proattive consentono sia ai gruppi che agli individui di rafforzare le proprie difese contro le minacce poste da tali attori.