Turla APT

Turla, taip pat žinomas kaip Mįslinga Ursa, Uroburos ir Snake, atstovauja sudėtingai pažangiajai nuolatinei grėsmei (APT), kilusiai iš Rusijos, kurios istorija siekia mažiausiai 2004 m. ir tariamai siejama su Rusijos Federaline saugumo tarnyba (FSB). Turla, garsėjanti tiksliniais įsibrovimais ir pažangia slaptumo taktika, užsitarnavo grėsmingo ir sunkiai įveikiamo priešininko reputaciją, demonstruodama išskirtinį techninį meistriškumą organizuojant slaptus ir slaptus kibernetinius išpuolius.

Bėgant metams „Turla“ išplėtė savo aprėptį daugiau nei 45 šalyse, įsiskverbdama į įvairius sektorius, tokius kaip vyriausybinės agentūros, diplomatinės atstovybės, karinės įstaigos, taip pat švietimo, tyrimų ir farmacijos institucijos. Be to, grupuotė dalyvauja veikloje, susijusioje su Rusijos ir Ukrainos konfliktu, kilusiu 2022 metų vasarį, remiantis Ukrainos CERT pranešimais, nurodant šnipinėjimo operacijas, nukreiptas į Ukrainos gynybos interesus.

Nors „Turla“ šnipinėjimo pastangas daugiausia skyrė „Windows“ sistemoms, ji įrodė, kad gali taikyti „macOS“ ir „Linux“ platformas. Nenumaldomai plėtodama „Turla“ sukaupė didžiulį kenkėjiškų programų arsenalą, įskaitant „Capibar“, „Kazuar“, „ Snake “, „Kopiluwak “, „QUIETCANARY/Tunnus“, „Crutch “, „ComRAT “, „Carbon “ ir „HyperStack “ bei „TinyTurla“ , kurie buvo aktyviai naudojami įvairiose grėsmingose kampanijose, bet tuo neapsiribojant. .

„Turla“ pradeda taikyti „Linux“ sistemas

2014-aisiais „Turla“ jau keletą metų veikė kibernetinėje erdvėje, tačiau jos užsikrėtimo būdas liko paslaptis. Tais pačiais metais atlikti tyrimai atskleidė sudėtingą kelių etapų ataką, pavadintą Epic Turla, atskleidžiančią, kaip Turla naudoja Epic kenkėjiškų programų šeimą. Šioje kampanijoje buvo išnaudotos pažeidžiamumas CVE-2013-5065 ir CVE-2013-3346, naudojant „Spear-phishing“ el. laiškus, apginkluotus „Adobe PDF“ išnaudojimais, kartu su „watering-hole“ technikomis, naudojančiomis „Java“ išnaudojimus (CVE-2012-1723).

Svarbus šios kampanijos aspektas buvo „Turla“ pažangių užpakalinių durų, pvz., „Carbon/Cobra“, įdiegimas, retkarčiais panaudojant abu kaip perkėlimo mechanizmą.

Ankstesnės „Turla“ operacijos daugiausia buvo skirtos „Windows“ sistemoms, tačiau 2014 m. rugpjūčio mėn. aplinka pasikeitė, kai „Turla“ pirmą kartą pateko į „Linux“ teritoriją. Ši iniciatyva, žinoma kaip „Penguin Turla“, paskatino grupę naudoti „Linux Turla“ modulį, kuriame yra C/C++ vykdomasis failas, statiškai susietas su keliomis bibliotekomis, o tai žymiai padidino failo dydį šiai konkrečiai operacijai.

„Turla“ savo atakų operacijose pristato naujas kenkėjiškų programų grėsmes

2016 m. grupė, žinoma kaip Waterbug, tariamai valstybės remiama įmonė, panaudojo Trojan.Turla ir Trojan.Wipbot variantus, kad išnaudotų nulinės dienos pažeidžiamumą, konkrečiai taikydama Windows branduolio NDProxy.sys vietinių privilegijų eskalavimo pažeidžiamumą (CVE-2013). -5065). Remiantis tyrimų rezultatais, užpuolikai naudojo kruopščiai parengtus el. laiškus su nesaugiais priedais kartu su pažeistų svetainių tinklu, kad pristatytų savo niekšiškus krovinius.

Kitais metais mokslininkai atskleidė pažangią Turla kenkėjiškos programinės įrangos iteraciją – antrojo etapo užpakalines duris, identifikuojamas kaip Carbon. Anglies dioksido atakos inicijavimas paprastai reiškia, kad auka gauna sukčiavimo el. laišką arba užklysta į pažeistą svetainę, šnekamojoje kalboje vadinamą vandens duobe.

Vėliau įdiegiamos pirmosios pakopos užpakalinės durys, tokios kaip Tavdig arba Skipper . Baigus žvalgybos veiklą, „Carbon framework“ organizuoja antrosios pakopos galinių durų įrengimą kritinėse sistemose. Šią sistemą sudaro lašintuvas, atsakingas už konfigūracijos failo įdiegimą, komunikacijos komponentas, skirtas sąveikai su komandų ir valdymo (C&C) serveriu, užduočių ir šoninio judėjimo tinkle valdymo orkestras ir orkestro vykdymo įkroviklis.

Į sceną patenka Turlos „Kazuaro“ užpakalinės durys

2017 m. gegužę kibernetinio saugumo tyrinėtojai susiejo naujai atrastą užpakalinių durų Trojos arklį Kazuar su grupe Turla. Sukurtas naudojant Microsoft .NET Framework, Kazuar gali pasigirti labai funkcionaliais komandų rinkiniais, galinčiais nuotoliniu būdu įkelti papildomus papildinius.

„Kazuar“ veikia rinkdama sistemos ir kenkėjiškų programų failų pavadinimų informaciją, nustatydama „mutex“, kad užtikrintų išskirtinį vykdymą, ir įtraukdama LNK failą į „Windows“ paleisties aplanką.

„Kazuar“ komandų rinkiniai yra panašūs į tuos, kurie yra kituose užpakalinių durų Trojos arklysiuose. Pavyzdžiui, užduočių sąrašo komanda naudoja „Windows Management Instrumentation“ (WMI) užklausą, kad gautų vykdomus procesus iš „Windows“, o komanda info renka duomenis apie atidarytus langus. Be to, „Kazuar“ komanda cmd vykdo komandas naudodama cmd.exe „Windows“ sistemoms ir /bin/bash „Unix“ sistemoms, nurodydama, kad jos dizainas yra kelių platformų kenkėjiška programa, skirta „Windows“ ir „Unix“ aplinkoms.

Tolesni tyrimai 2021 m. pradžioje atskleidė reikšmingas paraleles tarp Sunburst ir Kazuar užpakalinių durų.

Daugiau „Turla Attack“ kampanijų, vykstančių 2017 m

Turla pristatė naują antrosios pakopos užpakalines duris, pavadintas Gazer, užkoduotą C++, panaudojant atakas ir sukčiavimo kampanijas, siekiant tiksliai nukreipti aukas.

Be patobulintų slaptumo galimybių, „Gazer“ turėjo daug panašumų į anksčiau naudotas antrosios pakopos užpakalines duris, tokias kaip „Carbon“ ir „Kazuar“. Svarbus šios kampanijos bruožas buvo „su vaizdo žaidimais susijusių“ sakinių integravimas į kodą. „Turla“ apsaugojo „Gazer's Command and Control“ (C&C) serverį užšifruodama jį patentuota 3DES ir RSA šifravimo biblioteka.

„Turla“ apima kitų elektroninių nusikaltimų grupių grėsmes ir infrastruktūrą

2018 m. žvalgybos ataskaitoje nurodyta, kad „Turla“ kartu su „Snake Rootkit“ naudojo naujai sukurtus kenksmingus įrankius „Neuron“ ir „Nautilus “, kad taikytų „Windows“ įrenginius, ypatingą dėmesį skirdama paštui ir žiniatinklio serveriams. Turla panaudojo pažeistas gyvatės aukas, kad nuskaitytų ASPX apvalkalus, perduodamas komandas per užšifruotas HTTP slapukų reikšmes. Turla panaudojo ASPX apvalkalus, kad sukurtų pradinę prieigą prie tikslinių sistemų, kad būtų galima įdiegti papildomus įrankius.

2018 m. „Turla“ dar kartą atkreipė dėmesį į Europos vyriausybių užsienio biurus, siekdama per užpakalines duris prasiskverbti į itin jautrią informaciją. Ši kampanija buvo nukreipta į „Microsoft Outlook“ ir „The Bat!“, plačiai Rytų Europoje naudojamą pašto programą, nukreipiančią visus siunčiamus el. laiškus užpuolikams. Užpakalinės durys naudojo el. pašto pranešimus duomenims išgauti, naudodamas specialiai sukurtus PDF dokumentus ir naudodamas el. pašto pranešimus kaip savo komandų ir valdymo (C&C) serverio kanalą.

2019 m. „Turla“ operatoriai pasinaudojo „OilRig“ – su Iranu siejamos APT grupės, žinomos kaip nusitaikę į vyriausybės subjektus ir organizacijas Artimuosiuose Rytuose, infrastruktūrą, kad galėtų vykdyti savo atakų operacijas. Ši kampanija apėmė stipriai modifikuoto, pritaikyto Mimikatz įrankio varianto diegimą kartu su nauju įrankių rinkiniu, turinčiu keletą naujų užpakalinių durų. Vėlesniuose kampanijos etapuose „Turla“ grupė naudojo atskirą nuotolinio procedūrų iškvietimo (RPC) užpakalines duris, įtraukdamas kodą iš viešai prieinamo „PowerShell Runner“ įrankio, kad galėtų vykdyti „PowerShell“ scenarijus nepasikliaujant powershell.exe.

Naujos „Backdoor“ grėsmės, paskelbtos 2020 m

2020 m. kovo mėn. saugumo analitikai pastebėjo, kad Turla atakuoja daugybe Armėnijos svetainių. Šiose svetainėse buvo sugadintas „JavaScript“ kodas, nors tikslūs prieigos būdai, naudojami atakose, lieka neatskleidžiami.

Vėliau pažeisti tinklalapiai platino antrosios pakopos pažeistą „JavaScript“ kodą, kad nustatytų nukentėjusias naršykles ir paskatintų jas įdiegti blogą „Flash“ diegimo programą. Tada „Turla“ panaudojo „NetFlash“ , .NET atsisiuntimo programą, ir „PyFlash“ savo antriniam kenkėjiškų programų diegimui.

Po kelių mėnesių Turla panaudojo ComRAT v4 , slapyvardžiu Agent.BTZ, kaip nuotolinės prieigos Trojos arklys (RAT). Ši kenkėjiška programa, sukurta naudojant C++, turi virtualią FAT16 failų sistemą, dažnai naudojamą slaptiems dokumentams išfiltruoti. Jis platinamas nustatytais prieigos maršrutais, tokiais kaip „PowerStallion PowerShell“ užpakalinės durys, naudojant HTTP ir el. paštą kaip komandų ir valdymo (C&C) kanalus.

2020 m. pabaigoje kibernetinio saugumo ekspertai aptiko nedokumentuotą užpakalinių durų ir dokumentų ištraukiklį pavadinimu Crutch , priskirtą grupei Turla. Ankstesnėse „Crutch“ versijose buvo užpakalinės durys, bendraujantys su iš anksto nustatyta „Dropbox“ paskyra per oficialią HTTP API.

Šios užpakalinės durys turėjo galimybes vykdyti komandas, susijusias su manipuliavimu failais, procesų vykdymu ir atkaklumo nustatymu per DLL užgrobimą „Google Chrome“, „Mozilla Firefox“ arba „Microsoft OneDrive“. Pažymėtina, kad „Crutch v4“ gali pasigirti automatizuota funkcija, leidžiančia įkelti vietinius ir išimamus disko failus į „Dropbox“ saugyklą, kurią palengvina Wget programos „Windows“ versija, skirtingai nuo ankstesnių iteracijų, kurios priklauso nuo užpakalinių durų komandų.

„Turla APT Group“ išlaisvina „TinyTurla“ kenkėjišką programą ir pradeda taikyti išteklius Ukrainoje

Į „TinyTurla“ užpakalinių durų atsiradimą buvo atkreiptas dėmesys 2021 m. Ši grėsmė greičiausiai yra nenumatytų atvejų planas, suteikiantis nuolatinę prieigą prie sistemų net ir pašalinus pagrindinę kenkėjišką programą. Šių galinių durų diegimas palengvinamas naudojant paketinį failą ir rodomas kaip paslaugos DLL, pavadintas w64time.dll, siekiant imituoti teisėtą w32time.dll failą Windows platformose.

Rusijai įsiveržus į Ukrainą, Turla APT nukreipė savo dėmesį į taikinius, atitinkančius Rusijos interesus konflikte. 2023 m. liepos mėn. Ukrainos kompiuterinių avarijų reagavimo grupės (CERT-UA) pranešime buvo atskleista, kad Turla šnipinėjimui, nukreiptam į Ukrainos gynybos išteklius, naudoja Capibar kenkėjišką programinę įrangą ir Kazuar backdoor. Šioje operacijoje Kapibaras buvo įdarbintas žvalgybos informacijai rinkti, o Kazuaras specializavosi kredencialų vagystėse. Išpuolis daugiausia buvo nukreiptas į diplomatinius ir karinius subjektus per sukčiavimo kampanijas.

TinyTurla-NG ir Pelmeni Wrapper atsiradimas

2023 m. pabaigoje buvo pastebėta, kad „Turla“ grėsmių veikėjas tris mėnesius trukusioje kampanijoje naudojo naujas užpakalines duris, pavadintas „TinyTurla-NG“. Atakos operacija buvo konkrečiai nukreipta į nevyriausybines organizacijas Lenkijoje. Panašiai kaip ir pirmtakas, „TinyTurla-NG“ veikia kaip kompaktiškos „paskutinės išeities“ užpakalinės durys. Jis yra strategiškai panaudotas, kad liktų neaktyvus, kol visi kiti neteisėtos prieigos arba užpakalinių durų mechanizmai pažeistose sistemose suges arba bus aptikti.

2024 m. vasario mėn. kibernetinio saugumo analitikai atskleidė naują „Turla“ kampaniją, kurioje pristatomos naujoviškos strategijos ir modifikuotas Kazuar Trojos arklys. Šioje konkrečioje atakos operacijoje „Kazuaro“ grėsmė buvo išplatinta aukoms, į kurias buvo nukreipta, per anksčiau be dokumentų, pavadintą Pelmeni .

Nepaisant ilgus metus trukusių išsamių atakų operacijų, Turla APT tebėra didelė kibernetinė grėsmė

Grupė „Turla“ yra atkakli ir patvari priešininkė, galinti pasigirti ilgamete veikla. Jų kilmė, taktika ir taikinių pasirinkimas rodo, kad operacija, kuriai reikia pakankamai išteklių, vadovaujama įgudusių operatyvininkų. Bėgant metams „Turla“ nuosekliai tobulino savo įrankius ir metodikas, parodydama įsipareigojimą nuolat tobulinti.

Tokių grupių kaip Turla keliama grėsmė pabrėžia, kad organizacijos ir vyriausybės turi išlaikyti budrumą. Tai reiškia, kad reikia neatsilikti nuo įvykių, keistis žvalgybos duomenimis ir įgyvendinti patikimas saugumo priemones. Tokie iniciatyvūs veiksmai leidžia grupėms ir asmenims sustiprinti savo apsaugą nuo tokių veikėjų keliamų grėsmių.