Turla APT
Turla, juga dikenali sebagai Pensive Ursa, Uroburos dan Snake, mewakili Ancaman Berterusan Lanjutan (APT) canggih yang berasal dari Rusia, dengan sejarah sejak sekurang-kurangnya 2004 dan dikatakan mempunyai hubungan dengan Perkhidmatan Keselamatan Persekutuan Rusia (FSB). Terkenal dengan pencerobohan yang disasarkan dan taktik sembunyi-sembunyi yang canggih, Turla telah memperoleh reputasi sebagai musuh yang menggerunkan dan sukar difahami, mempamerkan kehebatan teknikal yang luar biasa dalam mengatur serangan siber tersembunyi dan tersembunyi.
Selama bertahun-tahun, Turla telah meluaskan jangkauannya merentasi lebih daripada 45 negara, menyusup ke pelbagai sektor seperti agensi kerajaan, misi diplomatik, pertubuhan tentera, serta institusi pendidikan, penyelidikan dan farmaseutikal. Selain itu, kumpulan itu telah terlibat dalam aktiviti yang berkaitan dengan konflik Rusia-Ukraine yang meletus pada Februari 2022, seperti laporan daripada CERT Ukraine, yang menunjukkan operasi pengintipan ditujukan kepada kepentingan pertahanan Ukraine.
Walaupun Turla kebanyakannya menumpukan usaha pengintipannya pada sistem berasaskan Windows, ia telah menunjukkan keupayaan untuk menyasarkan platform macOS dan Linux. Melalui pembangunan tanpa henti, Turla telah mengumpulkan peralatan perisian hasad yang hebat, termasuk tetapi tidak terhad kepada Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon dan HyperStack dan TinyTurla , yang telah digunakan secara aktif dalam pelbagai kempen yang mengancam. .
Isi kandungan
Turla Mula Menyasarkan Sistem Linux
Menjelang 2014, Turla telah pun beroperasi dalam landskap siber selama beberapa tahun, namun kaedah jangkitannya masih menjadi misteri. Penyelidikan yang dijalankan pada tahun yang sama memberi penerangan tentang serangan berbilang peringkat yang canggih yang digelar Epic Turla, mendedahkan penggunaan Turla terhadap keluarga perisian hasad Epic. Kempen ini mengeksploitasi kelemahan CVE-2013-5065 dan CVE-2013-3346, memanfaatkan e-mel spear-phishing bersenjata dengan eksploitasi Adobe PDF bersama-sama teknik watering-hole yang menggunakan eksploitasi Java (CVE-2012-1723).
Aspek yang ketara dalam kempen ini ialah penggunaan pintu belakang lanjutan Turla seperti Carbon/Cobra, sekali-sekala menggunakan kedua-duanya sebagai mekanisme failover.
Operasi Turla sebelum ini kebanyakannya menyasarkan sistem Windows, tetapi pada Ogos 2014, landskap berubah apabila Turla menerokai wilayah Linux buat kali pertama. Dikenali sebagai Penguin Turla, inisiatif ini menyaksikan kumpulan itu menggunakan modul Linux Turla yang menampilkan C/C++ boleh laku yang dipautkan secara statik terhadap berbilang perpustakaan, dengan ketara meningkatkan saiz failnya untuk operasi khusus ini.
Turla Memperkenalkan Ancaman Peribadi Baharu dalam Operasi Serangannya
Pada tahun 2016, kumpulan yang dikenali sebagai Waterbug, yang dikatakan entiti tajaan kerajaan, menggunakan varian Trojan.Turla dan Trojan.Wipbot untuk mengeksploitasi kerentanan sifar hari, khususnya menyasarkan kerentanan peningkatan keistimewaan tempatan Windows Kernel NDProxy.sys (CVE-2013 -5065). Menurut penemuan penyelidikan, penyerang menggunakan e-mel yang dibuat dengan teliti yang mengandungi lampiran yang tidak selamat bersama rangkaian tapak web yang terjejas untuk menyampaikan muatan jahat mereka.
Pada tahun berikutnya, penyelidik menemui lelaran lanjutan perisian hasad Turla - pintu belakang peringkat kedua yang dikenal pasti sebagai Carbon. Permulaan serangan Karbon biasanya melibatkan mangsa sama ada menerima e-mel pancingan lembing atau terjumpa tapak web yang dikompromi, yang secara bahasa dikenali sebagai lubang berair.
Selepas itu, pintu belakang peringkat pertama seperti Tavdig atau Skipper dipasang. Setelah selesai aktiviti peninjauan, rangka kerja Carbon mengatur pemasangan pintu belakang peringkat kedua pada sistem kritikal. Rangka kerja ini terdiri daripada penitis yang bertanggungjawab untuk memasang fail konfigurasinya, komponen komunikasi untuk berinteraksi dengan pelayan Perintah dan Kawalan (C&C), orkestra untuk mengurus tugas dan pergerakan sisi dalam rangkaian, dan pemuat untuk melaksanakan orkestra.
Pintu Belakang Kazuar Turla Memasuki Pemandangan
Pada Mei 2017, penyelidik keselamatan siber menghubungkan Trojan pintu belakang yang baru ditemui, Kazuar, kepada kumpulan Turla. Dibangunkan menggunakan Rangka Kerja Microsoft .NET, Kazuar menawarkan set arahan yang sangat berfungsi yang mampu memuatkan pemalam tambahan dari jauh.
Kazuar beroperasi dengan mengumpulkan maklumat nama fail sistem dan perisian hasad, mewujudkan mutex untuk memastikan pelaksanaan tunggal dan menambah fail LNK pada folder permulaan Windows.
Perintah yang ditetapkan dalam Kazuar mempamerkan persamaan dengan yang terdapat di Trojan pintu belakang yang lain. Sebagai contoh, arahan senarai tugas menggunakan pertanyaan Instrumen Pengurusan Windows (WMI) untuk mendapatkan semula proses yang dijalankan daripada Windows, manakala arahan maklumat mengumpul data pada tetingkap terbuka. Selain itu, arahan cmd Kazuar melaksanakan perintah menggunakan cmd.exe untuk sistem Windows dan /bin/bash untuk sistem Unix, menunjukkan reka bentuknya sebagai perisian hasad merentas platform yang menyasarkan kedua-dua persekitaran Windows dan Unix.
Penyelidikan lanjut pada awal 2021 mendedahkan persamaan yang ketara antara pintu belakang Sunburst dan Kazuar.
Lebih Banyak Kempen Serangan Turla Berlangsung pada 2017
Turla memperkenalkan pintu belakang peringkat kedua baharu yang dipanggil Gazer, berkod dalam C++, memanfaatkan serangan lubang air dan kempen pancingan lembing untuk menyasarkan mangsa dengan tepat.
Sebagai tambahan kepada keupayaan stealth yang dipertingkatkan, Gazer mempamerkan banyak persamaan dengan pintu belakang peringkat kedua yang digunakan sebelum ini seperti Carbon dan Kazuar. Ciri ketara kempen ini ialah penyepaduan ayat 'berkaitan permainan video' dalam kod. Turla menjamin pelayan Perintah dan Kawalan (C&C) Gazer dengan menyulitkannya dengan perpustakaan proprietarinya untuk penyulitan 3DES dan RSA.
Turla Menggabungkan Ancaman dan Infrastruktur daripada Kumpulan Jenayah Siber Lain
Pada 2018, laporan perisikan menunjukkan bahawa Turla menggunakan alat berbahaya yang baru dibangunkan, Neuron dan Nautilus , bersama Snake Rootkit , untuk menyasarkan mesin Windows, dengan tumpuan khusus pada pelayan mel dan Web. Turla menggunakan mangsa Ular yang terjejas untuk mengimbas cengkerang ASPX, menghantar arahan melalui nilai kuki HTTP yang disulitkan. Turla memanfaatkan cengkerang ASPX untuk mewujudkan akses awal kepada sistem sasaran untuk penggunaan alatan tambahan.
Sekali lagi pada 2018, Turla menumpukan perhatiannya pada pejabat asing kerajaan Eropah, bertujuan untuk menyusup maklumat yang sangat sensitif melalui pintu belakang. Kempen ini menyasarkan Microsoft Outlook dan The Bat!, klien mel yang digunakan secara meluas di Eropah Timur, mengubah hala semua e-mel keluar kepada penyerang. Pintu belakang menggunakan mesej e-mel untuk mengekstrak data, menggunakan dokumen PDF yang direka khas dan menggunakan mesej e-mel sebagai saluran untuk pelayan Perintah dan Kawalan (C&C).
Pada tahun 2019, pengendali Turla mengeksploitasi infrastruktur OilRig, kumpulan APT yang dikaitkan dengan Iran yang terkenal menyasarkan entiti dan organisasi kerajaan di Timur Tengah, untuk menjalankan operasi serangan mereka sendiri. Kempen ini melibatkan penggunaan varian tersuai yang banyak diubah suai bagi alat Mimikatz bersama-sama pelbagai alatan baharu yang menampilkan beberapa pintu belakang baharu. Dalam fasa akhir kempen, kumpulan Turla menggunakan pintu belakang Panggilan Prosedur Jauh (RPC) yang berbeza, menggabungkan kod daripada alat PowerShell Runner yang boleh diakses secara umum untuk melaksanakan skrip PowerShell tanpa bergantung pada powershell.exe.
Ancaman Pintu Belakang Baharu Dikeluarkan Sepanjang 2020
Pada Mac 2020, penganalisis keselamatan memerhatikan Turla menggunakan serangan lubang air untuk menyasarkan banyak laman web Armenia. Laman web ini telah disuntik dengan kod JavaScript yang rosak, walaupun kaedah akses tepat yang digunakan dalam serangan masih tidak didedahkan.
Selepas itu, halaman web yang terjejas mengedarkan kod JavaScript terjejas peringkat kedua untuk mengenal pasti penyemak imbas mangsa dan memujuk mereka supaya memasang pemasang Flash yang buruk. Turla kemudiannya memanfaatkan NetFlash , pemuat turun .NET dan PyFlash untuk penggunaan perisian hasad sekundernya.
Beberapa bulan kemudian, Turla menggunakan ComRAT v4 , alias Agent.BTZ, sebagai Trojan Akses Jauh (RAT). Perisian hasad ini, yang direka menggunakan C++, menampilkan sistem fail FAT16 maya yang kerap digunakan untuk mengekstrak dokumen sensitif. Ia disebarkan melalui laluan akses yang telah ditetapkan seperti pintu belakang PowerStallion PowerShell sambil menggunakan HTTP dan e-mel sebagai saluran Perintah dan Kawalan (C&C).
Menjelang penghujung tahun 2020, pakar keselamatan siber terjumpa pintu belakang tanpa dokumen dan pengekstrak dokumen bernama Crutch , yang dikaitkan dengan kumpulan Turla. Versi awal Crutch termasuk pintu belakang yang berkomunikasi dengan akaun Dropbox yang telah ditetapkan melalui API HTTP rasmi.
Pintu belakang ini mempunyai keupayaan untuk melaksanakan perintah yang berkaitan dengan manipulasi fail, pelaksanaan proses dan mewujudkan kegigihan melalui rampasan DLL pada Google Chrome, Mozilla Firefox atau Microsoft OneDrive. Terutama, Crutch v4 mempunyai ciri automatik untuk memuat naik fail pemacu tempatan dan boleh alih ke storan Dropbox, difasilitasi oleh versi Windows utiliti Wget, tidak seperti lelaran sebelumnya yang bergantung pada arahan pintu belakang.
Kumpulan Turla APT Melancarkan Perisian Hasad TinyTurla dan Mula Menyasarkan Aset di Ukraine
Kemunculan pintu belakang TinyTurla mendapat perhatian pada tahun 2021. Ancaman ini mungkin berfungsi sebagai pelan luar jangka, yang membolehkan akses berterusan kepada sistem walaupun sekiranya berlaku penyingkiran perisian hasad utama. Pemasangan pintu belakang ini dipermudahkan melalui fail kelompok dan nyata sebagai DLL perkhidmatan bernama w64time.dll, bertujuan untuk meniru fail w32time.dll yang sah pada platform Windows.
Di tengah-tengah pencerobohan Rusia ke atas Ukraine, Turla APT mengalihkan fokusnya ke arah sasaran yang sejajar dengan kepentingan Rusia dalam konflik itu. Pengumuman daripada Pasukan Tindak Balas Kecemasan Komputer Ukraine (CERT-UA) pada Julai 2023 mendedahkan penggunaan perisian hasad Capibar dan pintu belakang Kazuar oleh Turla untuk aktiviti pengintipan yang menyasarkan aset pertahanan Ukraine. Dalam operasi ini, Capibar telah bekerja untuk pengumpulan risikan manakala Kazuar pakar dalam kecurian kelayakan. Serangan itu kebanyakannya menyasarkan entiti diplomatik dan ketenteraan melalui kempen pancingan data.
Kemunculan TinyTurla-NG dan Pelmeni Wrapper
Menjelang penghujung tahun 2023, pelakon ancaman Turla itu diperhatikan menggunakan pintu belakang baharu bernama TinyTurla-NG dalam kempen yang berlangsung selama tiga bulan. Operasi serangan itu secara khusus menyasarkan pertubuhan bukan kerajaan di Poland. Sama seperti pendahulunya, TinyTurla-NG berfungsi sebagai pintu belakang 'last resort' yang padat. Ia digunakan secara strategik untuk kekal tidak aktif sehingga semua akses tanpa kebenaran lain atau mekanisme pintu belakang pada sistem yang terjejas sama ada gagal atau ditemui.
Pada Februari 2024, penganalisis keselamatan siber menemui kempen Turla baharu yang mempamerkan strategi inovatif dan varian Kazuar Trojan yang diubah suai. Dalam operasi serangan khusus ini, ancaman Kazuar telah diedarkan kepada mangsa yang disasarkan melalui pembungkus yang sebelum ini tanpa dokumen bernama Pelmeni .
APT Turla Kekal Ancaman Siber Utama Walaupun Bertahun-tahun Operasi Serangan Terperinci
Kumpulan Turla berdiri sebagai musuh yang gigih dan berkekalan, mempunyai rekod aktiviti yang panjang. Asal usul, taktik dan pilihan sasaran mereka mencadangkan operasi yang mempunyai sumber yang baik yang diketuai oleh koperasi yang mahir. Selama bertahun-tahun, Turla telah mempertingkatkan alatan dan metodologinya secara konsisten, menunjukkan komitmen terhadap penghalusan berterusan.
Ancaman yang ditimbulkan oleh kumpulan seperti Turla menggariskan keharusan bagi organisasi dan kerajaan untuk mengekalkan kewaspadaan. Ini memerlukan sentiasa mengikuti perkembangan, bertukar-tukar risikan dan melaksanakan langkah keselamatan yang teguh. Langkah proaktif sedemikian membolehkan kedua-dua kumpulan dan individu memperkukuh pertahanan mereka terhadap ancaman yang ditimbulkan oleh aktor tersebut.
