Hakerzy Turla APT wprowadzają backdoor TinyTurla
Mówiąc o rosyjskich hakerach, nie sposób nie wspomnieć o grupie Turla APT (Advanced Persistent Threat). Ich operacje są uważnie obserwowane od 2014 roku i uważa się, że są jedną z głównych grup hakerskich wspieranych przez Rosję. Ich najbardziej znany implant nosi imię samej grupy – Backdoor Turla. Oczywiście przeszedł on poważne zmiany od czasu pierwszego wydania, ale przestępcy do dziś polegają na swoim tronie. W rzeczywistości niedawno wypuścili „mini" wersję zagrożenia – Backdoor TinyTurla. Zachowuje niektóre z oryginalnych cech Backdoora Turla , ale brakuje mu również niektórych aspektów. Jednak ograniczona funkcjonalność pozwala na pozostawanie w ukryciu przez dłuższy czas, bez podnoszenia zbyt wielu czerwonych flag.
Brak funkcjonalności raczej nie będzie problemem dla hakerów Turla, ponieważ wydaje się, że mają plan, w jaki sposób Backdoor TinyTurla zostanie wykorzystany. Zamiast wykonywać pełnoprawne ataki samodzielnie, ma na celu uzyskanie trwałości, a następnie rozmieszczenie dodatkowych ładunków. To wyjaśniałoby, dlaczego przestępcy zdecydowali się usunąć niektóre z jego funkcji i zamiast tego skupić się na unikaniu.
Wydaje się, że cele, którymi interesują się hakerzy Turla APT, znajdują się w Niemczech i Stanach Zjednoczonych. Oczywiście prawdopodobnie nie minie dużo czasu, zanim rozszerzą zakres tej operacji i wdrożą Backdoora TinyTurla w kolejnych krajach.
Oprócz zapożyczenia kodu Turla Backdoor, implant TinyTurla wykorzystuje również tę samą konfigurację sieci i serwerów, dodatkowo wzmacniając połączenie między niesławnymi hakerami a tym mini trojanem typu backdoor.
Co zawierają możliwości TinyTurla Backdoor?
Chociaż brakuje mu kilku godnych uwagi funkcji, wciąż ma dużą siłę ognia, aby wyrządzić szkody. Przestępcy mogą zdalnie sterować implantem za pomocą zestawu predefiniowanych poleceń. Dzięki nim mogą zarządzać systemem plików, kontrolować procesy, a nawet modyfikować konfigurację sieci. Jedną z interesujących funkcji Backdoora TinyTurla jest to, że wymaga od przestępców uwierzytelnienia się. Prawdopodobnie ma to na celu ochronę implantu przed innymi przestępcami lub wścibskimi analitykami złośliwego oprogramowania. Jak dotąd aktywność TinyTurla Backdoor pozostaje dość niska. Jednak dopiero zobaczymy, jak rozwinie się ta kampania hakerów Turla APT.
