Turla Backdoor

Il Turla APT (Advanced Persistent Threat), è un famigerato gruppo di hacker russo, che opera da oltre un decennio. Sono anche chiamati Uroburos APT o Snake APT. Sono noti per avere un gusto per le vittime di fascia alta. È stato riferito che l'APT di Turla si era infiltrato nel Federal College of Public Administration della Germania e poi, attraverso di esso, era riuscito a compromettere il Federal Foreign Office del paese. Inoltre, questa non era una penetrazione una tantum; è stato scoperto che l'APT di Turla è rimasto sotto il radar delle autorità tedesche per quasi tutto il 2017. Durante questo periodo, il gruppo di hacker ha sottratto e raccolto dati del governo. Questa impressionante operazione è stata eseguita con uno strumento di APT chiamato Turla Backdoor.

Tre paesi europei hanno segnalato attacchi da parte di questo gruppo di hacker russi. Gli obiettivi erano ancora una volta i loro uffici esteri. È lecito ritenere che l'APT di Turla sia fortemente coinvolto nello spionaggio poiché i suoi obiettivi principali sono sempre stati diplomatici, autorità militari e statali e politici. Si sospetta che l'APT Turla possa essere collegato al governo russo, ma questa informazione deve ancora essere confermata.

Si ritiene che la backdoor di Turla APT abbia avuto origine nel 2009. Tuttavia, il gruppo di hacker non è stato inattivo nel corso degli anni e ha introdotto molti miglioramenti alla loro backdoor come la capacità della minaccia di ricevere comandi tramite un file PDF allegato a un'e-mail , che è stato introdotto nel 2016. Nel 2018 è stata aggiunta una nuova funzionalità alla backdoor di Turla APT: è stata aggiornata con la possibilità di eseguire comandi PowerShell sull'host infetto.

Questa versione più recente di questa backdoor è dotata della capacità di infiltrarsi in Microsoft Outlook. È interessante notare che l'APT Turla non utilizza una vulnerabilità nell'applicazione, ma manipola invece il legittimo MAPI (Messaging Application Programming Interface) di Microsoft Outlook e attraverso di esso ottiene l'accesso ai messaggi diretti degli obiettivi previsti. A differenza della maggior parte delle backdoor, che di solito ricevono comandi tramite un server di comando e controllo degli autori, la Turla Backdoor è controllata tramite e-mail appositamente predisposte grazie al miglioramento introdotto dall'APT Turla nel 2016. La Turla Backdoor è in grado di eseguire molti comandi, tra che raccolgono dati e scaricano ed eseguono vari file. Questa backdoor non è troppo esigente quando si tratta di dove viene piantata: la Turla Backdoor ha la forma di un modulo DLL (Dynamic Link Library) ed è in grado di funzionare da qualsiasi punto all'interno del disco rigido. Inoltre, l'APT Turla utilizza un'utilità Windows (RegSvr32.exe) per installare la sua backdoor sul sistema di destinazione.

Naturalmente, come ogni minaccia altamente efficiente di questo calibro, anche la Turla Backdoor è dotata di grande persistenza. Per ridurre al minimo le possibilità di essere scoperti, Turla Backdoor non svolgerà i suoi "doveri" tutto il tempo. Utilizza invece una nota vulnerabilità di Windows relativa al Component Object Model (COM). Sfruttando questa vulnerabilità, la backdoor è in grado di iniettare le sue istanze nel processo legittimo 'outlook.exe', eliminando così la necessità di utilizzare una DLL iniezione: un vettore di attacco che i prodotti antivirus rilevano facilmente.

Infiltrandosi in Microsoft Outlook, Turla Backdoor è in grado di raccogliere i metadati sull'attività di messaggistica della vittima: oggetto dell'e-mail, nome dell'allegato, mittenti e destinatari. Questi dati vengono raccolti e archiviati da Turla Backdoor e vengono trasferiti periodicamente ai server dell'attaccante. Una minaccia come Turla Backdoor potrebbe causare molti danni, soprattutto se gli aggressori riescono a infettare un sistema utilizzato per archiviare dati o comunicazioni sensibili ed è evidente che l'APT Turla prende di mira proprio questi utenti.

Oltre al furto di dati, al malware può essere ordinato di scaricare file aggiuntivi o eseguire script PowerShell danneggiati. In conclusione, Turla Backdoor è una minaccia che si avvicina a un rootkit nelle sue funzionalità.