Turla achterdeur

De Turla APT (Advanced Persistent Threat), is een beruchte Russische hackgroep die al meer dan tien jaar actief is. Ze worden ook Uroburos APT of Snake APT genoemd. Ze staan erom bekend dat ze een voorliefde hebben voor high-end slachtoffers. Er werd gemeld dat de Turla APT het Duitse Federale College voor Openbaar Bestuur was geïnfiltreerd en er vervolgens in geslaagd was om het federale ministerie van Buitenlandse Zaken van het land in gevaar te brengen. Bovendien was dit geen eenmalige penetratie; er is bekendgemaakt dat de Turla APT bijna heel 2017 onder de radar van de Duitse autoriteiten is gebleven. Gedurende deze tijd was de hackgroep bezig met het overhevelen en verzamelen van overheidsgegevens. Deze indrukwekkende operatie werd uitgevoerd met een APT-tool genaamd de Turla Backdoor.

Drie Europese landen hebben aanvallen van deze Russische hackgroep gemeld. De doelwitten waren opnieuw hun buitenlandse kantoren. Het is veilig om aan te nemen dat de Turla APT zwaar betrokken is bij spionage, aangezien hun belangrijkste doelwitten altijd diplomaten, militaire en staatsautoriteiten en politici zijn geweest. Het vermoeden bestaat dat de Turla APT gelinkt is aan de Russische regering, maar deze informatie moet nog worden bevestigd.

De achterdeur van de Turla APT stamt vermoedelijk uit 2009. De hackgroep heeft in de loop der jaren echter niet stilgezeten en heeft veel verbeteringen aan hun achterdeur aangebracht, zoals het vermogen van de dreiging om opdrachten te ontvangen via een PDF-bestand dat als bijlage bij een e-mail is gevoegd. , die in 2016 werd geïntroduceerd. In 2018 werd een nieuwe functie toegevoegd aan de achterdeur van de Turla APT: deze was geüpgraded met de mogelijkheid om PowerShell-opdrachten op de geïnfecteerde host uit te voeren.

Deze meest recente versie van deze achterdeur is uitgerust met de mogelijkheid om Microsoft Outlook te infiltreren. Interessant genoeg gebruikt de Turla APT geen kwetsbaarheid in de applicatie, maar manipuleert in plaats daarvan de legitieme MAPI (Messaging Application Programming Interface) van Microsoft Outlook en krijgt daardoor toegang tot de directe berichten van hun beoogde doelen. In tegenstelling tot de meeste backdoors, die meestal commando's ontvangen via een Command and Control-server van de daders, wordt de Turla Backdoor bestuurd via speciaal vervaardigde e-mails dankzij de verbetering die de Turla APT in 2016 heeft geïntroduceerd. De Turla Backdoor kan veel commando's uitvoeren, waaronder die gegevens verzamelen en verschillende bestanden downloaden en uitvoeren. Deze backdoor is niet al te kieskeurig als het gaat om waar het wordt geplant - de Turla Backdoor heeft de vorm van een DLL-module (Dynamic Link Library) en kan overal op de harde schijf worden uitgevoerd. Bovendien gebruikt de Turla APT een Windows-hulpprogramma (RegSvr32.exe) om de achterdeur op het beoogde systeem te installeren.

Natuurlijk, zoals elke zeer efficiënte dreiging van dit kaliber, is ook de Turla Backdoor uitgerust met een groot doorzettingsvermogen. Om de kans op detectie te minimaliseren, zal de Turla Backdoor niet altijd zijn 'taken' uitvoeren. In plaats daarvan maakt het gebruik van een bekende Windows-kwetsbaarheid met betrekking tot het Component Object Model (COM). Door deze kwetsbaarheid te misbruiken, kan de achterdeur zijn instanties injecteren in het legitieme 'outlook.exe'-proces, waardoor het gebruik van een DLL overbodig wordt. injectie - een aanvalsvector die antivirusproducten gemakkelijk detecteren.

Door Microsoft Outlook te infiltreren, kan de Turla Backdoor de metadata verzamelen over de berichtenactiviteit van hun slachtoffer: e-mailonderwerp, naam van de bijlage, afzenders en ontvangers. Deze gegevens worden verzameld en opgeslagen door de Turla Backdoor en worden periodiek overgebracht naar de servers van de aanvaller. Een bedreiging als de Turla Backdoor kan veel schade aanrichten, vooral als de aanvallers erin slagen een systeem te infecteren dat wordt gebruikt om gevoelige gegevens of communicatie op te slaan en het is duidelijk dat de Turla APT zich precies op deze gebruikers richt.

Afgezien van gegevensdiefstal, kan de malware worden opgedragen om extra bestanden te downloaden of beschadigde PowerShell-scripts uit te voeren. Kortom, de Turla Backdoor is een bedreiging die qua functionaliteit in de buurt komt van een rootkit.