Turla APT-hackers introduceren de TinyTurla-backdoor

Als we het hebben over Russische hackers, is er geen manier om de Turla APT-groep (Advanced Persistent Threat) niet te noemen. Hun activiteiten worden sinds 2014 nauwlettend gevolgd en er wordt aangenomen dat ze een van de belangrijkste door Rusland gesteunde hackgroepen zijn. Hun meest beruchte implantaat is vernoemd naar de groep zelf: de Turla Backdoor. Natuurlijk heeft het grote veranderingen ondergaan sinds de eerste release, maar de criminelen blijven tot op de dag van vandaag op hun Trojan vertrouwen. In feite hebben ze onlangs een 'mini'-versie van de dreiging losgelaten: de TinyTurla Backdoor. Het behoudt enkele van de originele kenmerken van de Turla Backdoor , maar het mist ook bepaalde aspecten. Door de beperkte functionaliteit kan het echter voor langere tijd verborgen blijven, zonder al te veel rode vlaggen te veroorzaken.

Het gebrek aan functionaliteit zal waarschijnlijk geen probleem zijn voor de Turla-hackers, aangezien ze een plan lijken te hebben voor hoe de TinyTurla Backdoor in gebruik zal worden genomen. In plaats van zelf volwaardige aanvallen uit te voeren, is het ontworpen om persistentie te krijgen en vervolgens extra payloads in te zetten. Dit zou verklaren waarom de criminelen ervoor hebben gekozen om sommige functies te verwijderen en zich in plaats daarvan te concentreren op ontwijking.

De doelen waarin de Turla APT-hackers geïnteresseerd zijn, lijken zich in Duitsland en de Verenigde Staten te bevinden. Het zal natuurlijk niet lang meer duren voordat ze de reikwijdte van deze operatie uitbreiden en de TinyTurla Backdoor in meer landen inzetten.

Afgezien van het lenen van de Turla Backdoor-code, maakt het TinyTurla-implantaat ook gebruik van dezelfde netwerkconfiguratie en servers, waardoor de verbinding tussen de beruchte hackers en deze mini-backdoor-trojan verder wordt versterkt.

Wat houden de mogelijkheden van TinyTurla Backdoor in?

Hoewel het enkele opvallende kenmerken mist, heeft het nog steeds voldoende vuurkracht om schade aan te richten. De criminelen kunnen het implantaat op afstand bedienen via een reeks vooraf gedefinieerde commando's. Dankzij hen kunnen ze het bestandssysteem beheren, processen controleren en zelfs de netwerkconfiguratie wijzigen. Een interessant kenmerk van de TinyTurla Backdoor is dat criminelen zichzelf moeten authenticeren. Dit is waarschijnlijk bedoeld om het implantaat te beschermen tegen andere criminelen of nieuwsgierige malware-analisten. Tot nu toe blijft de activiteit van de TinyTurla Backdoor vrij laag. We moeten echter nog zien hoe deze campagne van de Turla APT-hackers zich zal ontwikkelen.