Turla APT

Turla, znana również jako Zamyślona Niedźwiedzica, Uroburos i Wąż, reprezentuje wyrafinowane zaawansowane trwałe zagrożenie (APT) pochodzące z Rosji, którego historia sięga co najmniej 2004 roku i ma rzekome powiązania z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Znana ze swoich ukierunkowanych włamań i najnowocześniejszych taktyk ukrywania się, Turla zyskała reputację groźnego i nieuchwytnego przeciwnika, wykazując się wyjątkową sprawnością techniczną w organizowaniu tajnych i podstępnych cyberataków.

Z biegiem lat Turla rozszerzyła swój zasięg na ponad 45 krajów, infiltrując różnorodne sektory, takie jak agencje rządowe, misje dyplomatyczne, placówki wojskowe, a także instytucje edukacyjne, badawcze i farmaceutyczne. Dodatkowo grupa jest uwikłana w działania związane z konfliktem rosyjsko-ukraińskim, który wybuchł w lutym 2022 roku, jak wynika z raportów Ukraine CERT, wskazujących na operacje szpiegowskie wymierzone w interesy obronności Ukrainy.

Chociaż Turla skupiała swoje wysiłki szpiegowskie głównie na systemach opartych na systemie Windows, wykazała możliwości atakowania platform macOS i Linux. Dzięki nieustannemu rozwojowi Turla zgromadziła potężny arsenał narzędzi szkodliwego oprogramowania, w tym między innymi Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon i HyperStack oraz TinyTurla , które były aktywnie wykorzystywane w różnych kampaniach zawierających zagrożenia .

Turla zaczyna atakować systemy Linux

Do 2014 roku Turla działała już w cyberprzestrzeni już od kilku lat, jednak sposób jej infekcji pozostawał tajemnicą. Badania przeprowadzone w tym samym roku rzuciły światło na wyrafinowany, wieloetapowy atak nazwany Epic Turla, ujawniając wykorzystanie przez Turlę rodziny szkodliwego oprogramowania Epic. W tej kampanii wykorzystano luki CVE-2013-5065 i CVE-2013-3346, wykorzystując wiadomości e-mail typu spear-phishing wyposażone w exploity Adobe PDF oraz techniki wodopoju wykorzystujące exploity Java (CVE-2012-1723).

Godnym uwagi aspektem tej kampanii było wdrożenie przez Turlę zaawansowanych backdoorów, takich jak Carbon/Cobra, czasami wykorzystując oba jako mechanizmy przełączania awaryjnego.

Wcześniejsze działania Turla skupiały się głównie na systemach Windows, ale w sierpniu 2014 r. sytuacja uległa zmianie, gdy Turla po raz pierwszy zapuściła się na terytorium Linuksa. W ramach tej inicjatywy, znanej jako Penguin Turla, grupa wykorzystała moduł Linux Turla zawierający plik wykonywalny C/C++ połączony statycznie z wieloma bibliotekami, co znacznie zwiększyło rozmiar pliku dla tej konkretnej operacji.

Turla wprowadza nowe zagrożenia złośliwym oprogramowaniem w swoich operacjach ataków

W 2016 r. grupa znana jako Waterbug, rzekomo podmiot sponsorowany przez państwo, wykorzystała warianty programów Trojan.Turla i Trojan.Wipbot w celu wykorzystania luki dnia zerowego, a konkretnie wycelowanej w lukę w jądrze systemu Windows NDProxy.sys umożliwiającą eskalację lokalnych uprawnień (CVE-2013 -5065). Według wyników badań napastnicy wykorzystali skrupulatnie spreparowane e-maile zawierające niebezpieczne załączniki wraz z siecią zainfekowanych stron internetowych, aby dostarczyć swoje nikczemne ładunki.

W następnym roku badacze odkryli zaawansowaną wersję szkodliwego oprogramowania Turla – backdoora drugiego etapu zidentyfikowanego jako Carbon. Rozpoczęcie ataku węglowego zazwyczaj polega na tym, że ofiara otrzymuje wiadomość e-mail typu spear-phishing lub natrafia na zaatakowaną witrynę internetową, zwaną potocznie „wodopojem”.

Następnie instalowany jest backdoor pierwszego stopnia, taki jak Tavdig lub Skipper . Po zakończeniu działań rozpoznawczych platforma Carbon organizuje instalację backdoora drugiego etapu w systemach krytycznych. Struktura ta składa się z droppera odpowiedzialnego za instalację pliku konfiguracyjnego, komponentu komunikacyjnego umożliwiającego interakcję z serwerem dowodzenia i kontroli (C&C), orkiestratora do zarządzania zadaniami i ruchem poprzecznym w sieci oraz modułu ładującego do wykonywania orkiestratora.

Backdoor Kazuar firmy Turla wkracza na scenę

W maju 2017 r. badacze cyberbezpieczeństwa powiązali nowo odkrytego trojana typu backdoor o nazwie Kazuar z grupą Turla. Opracowany przy użyciu Microsoft .NET Framework, Kazuar może pochwalić się wysoce funkcjonalnymi zestawami poleceń umożliwiającymi zdalne ładowanie dodatkowych wtyczek.

Kazuar działa poprzez zbieranie informacji o nazwach plików systemowych i złośliwego oprogramowania, ustanawianie muteksu w celu zapewnienia pojedynczego wykonania i dodawanie pliku LNK do folderu startowego systemu Windows.

Zestawy poleceń w Kazuarze wykazują podobieństwa do tych, które można znaleźć w innych trojanach typu backdoor. Na przykład polecenie tasklist wykorzystuje zapytanie Instrumentacji zarządzania Windows (WMI) do pobierania uruchomionych procesów z systemu Windows, podczas gdy polecenie info zbiera dane o otwartych oknach. Co więcej, polecenie cmd Kazuara wykonuje polecenia przy użyciu cmd.exe dla systemów Windows i /bin/bash dla systemów Unix, co wskazuje na to, że jest to wieloplatformowe złośliwe oprogramowanie atakujące zarówno środowiska Windows, jak i Unix.

Dalsze badania przeprowadzone na początku 2021 r. ujawniły zauważalne podobieństwa między backdoorami Sunburst i Kazuar.

Więcej kampanii ataków Turla mających miejsce w 2017 r

Turla wprowadziła nowego backdoora drugiego etapu o nazwie Gazer, zakodowanego w C++, wykorzystującego ataki typu watering hole i kampanie phishingowe w celu precyzyjnego dotarcia do ofiar.

Oprócz ulepszonych możliwości ukrywania się, Gazer wykazywał liczne podobieństwa do wcześniej stosowanych backdoorów drugiego stopnia, takich jak Carbon i Kazuar. Godną uwagi cechą tej kampanii było włączenie do kodu zdań „związanych z grami wideo”. Turla zabezpieczyła serwer dowodzenia i kontroli (C&C) Gazera, szyfrując go za pomocą własnej biblioteki do szyfrowania 3DES i RSA.

Turla wykorzystuje zagrożenia i infrastrukturę z innych grup cyberprzestępczych

W 2018 r. raport wywiadu wskazał, że Turla wykorzystała nowo opracowane szkodliwe narzędzia, Neuron i Nautilus , wraz z Snake Rootkit , do atakowania maszyn z systemem Windows, ze szczególnym uwzględnieniem serwerów pocztowych i internetowych. Turla wykorzystywał skompromitowane ofiary Snake'a do skanowania w poszukiwaniu powłok ASPX i przesyłania poleceń za pośrednictwem zaszyfrowanych wartości plików cookie HTTP. Turla wykorzystała powłoki ASPX, aby zapewnić początkowy dostęp do systemów docelowych w celu wdrożenia dodatkowych narzędzi.

W 2018 r. Turla ponownie skupiła się na biurach zagranicznych rządów europejskich, mając na celu infiltrację bardzo wrażliwych informacji za pomocą tylnych drzwi. Celem tej kampanii były Microsoft Outlook i The Bat!, szeroko używany klient pocztowy w Europie Wschodniej, przekierowujący wszystkie wychodzące wiadomości e-mail do atakujących. Backdoor wykorzystywał wiadomości e-mail do wyodrębniania danych, wykorzystując specjalnie spreparowane dokumenty PDF i wykorzystując wiadomości e-mail jako kanał komunikacyjny dla swojego serwera dowodzenia i kontroli (C&C).

W 2019 r. operatorzy Turla wykorzystali infrastrukturę OilRig, grupy APT powiązanej z Iranem, znanej z ataków na podmioty i organizacje rządowe na Bliskim Wschodzie, do przeprowadzenia własnych operacji ataków. Kampania ta obejmowała wdrożenie mocno zmodyfikowanego, niestandardowego wariantu narzędzia Mimikatz wraz z nową gamą narzędzi obejmujących kilka nowych backdoorów. W późniejszych fazach kampanii grupa Turla wykorzystała odrębny backdoor do zdalnego wywoływania procedur (RPC), zawierający kod z publicznie dostępnego narzędzia PowerShell Runner w celu wykonywania skryptów PowerShell bez polegania na programie powershell.exe.

Nowe zagrożenia typu backdoor ujawnione w 2020 r

W marcu 2020 r. analitycy bezpieczeństwa zaobserwowali, że Turla wykorzystuje ataki typu watering hole w celu wybrania wielu ormiańskich witryn internetowych. Do stron tych wstrzyknięto uszkodzony kod JavaScript, chociaż dokładne metody dostępu wykorzystywane w atakach pozostają nieujawnione.

Następnie zaatakowane strony internetowe rozpowszechniane w drugim etapie naruszały kod JavaScript w celu zidentyfikowania przeglądarek ofiar i nakłonienia ich do zainstalowania złego instalatora Flash. Następnie Turla wykorzystała NetFlash , narzędzie do pobierania .NET i PyFlash do dodatkowego wdrożenia złośliwego oprogramowania.

Kilka miesięcy później Turla wykorzystała ComRAT v4 , alias Agent.BTZ, jako trojana dostępu zdalnego (RAT). To złośliwe oprogramowanie, stworzone przy użyciu języka C++, wykorzystuje wirtualny system plików FAT16 często wykorzystywany do wydobywania poufnych dokumentów. Jest rozpowszechniany za pośrednictwem ustalonych dróg dostępu, takich jak backdoor PowerStallion PowerShell, przy wykorzystaniu protokołu HTTP i poczty elektronicznej jako kanałów dowodzenia i kontroli (C&C).

Pod koniec 2020 roku eksperci ds. cyberbezpieczeństwa natknęli się na nieudokumentowanego backdoora i ekstraktora dokumentów o nazwie Crutch , przypisywanego grupie Turla. Wcześniejsze wersje Crutch zawierały backdoora komunikującego się z wcześniej określonym kontem Dropbox za pośrednictwem oficjalnego interfejsu API HTTP.

Ten backdoor posiadał możliwości wykonywania poleceń związanych z manipulacją plikami, wykonywaniem procesów i ustanawianiem trwałości poprzez przejmowanie bibliotek DLL w przeglądarkach Google Chrome, Mozilla Firefox lub Microsoft OneDrive. Warto zauważyć, że Crutch v4 oferuje zautomatyzowaną funkcję przesyłania plików z dysków lokalnych i wymiennych do pamięci Dropbox, co ułatwia wersja narzędzia Wget dla systemu Windows, w przeciwieństwie do poprzednich iteracji zależnych od poleceń backdoora.

Grupa Turla APT uwalnia złośliwe oprogramowanie TinyTurla i zaczyna atakować zasoby na Ukrainie

W 2021 roku zwrócono uwagę na pojawienie się backdoora TinyTurla. Zagrożenie to prawdopodobnie służy jako plan awaryjny, umożliwiający stały dostęp do systemów nawet w przypadku głównego usunięcia złośliwego oprogramowania. Instalacja tego backdoora jest ułatwiona za pomocą pliku wsadowego i manifestuje się jako usługa DLL o nazwie w64time.dll, której celem jest naśladowanie legalnego pliku w32time.dll na platformach Windows.

W obliczu rosyjskiej inwazji na Ukrainę grupa APT Turla skupiła się na celach zgodnych z interesami Rosji w konflikcie. W oświadczeniu ukraińskiego zespołu reagowania na incydenty komputerowe (CERT-UA) z lipca 2023 r. ujawniono wykorzystanie przez Turlę złośliwego oprogramowania Capibar i backdoora Kazuar do działań szpiegowskich wymierzonych w ukraińskie zasoby obronne. W tej operacji Capibar został zatrudniony do gromadzenia danych wywiadowczych, podczas gdy Kazuar specjalizował się w kradzieży danych uwierzytelniających. Celem ataku były głównie jednostki dyplomatyczne i wojskowe poprzez kampanie phishingowe.

Pojawienie się TinyTurla-NG i Pelmeni Wrapper

Pod koniec 2023 r. zaobserwowano, że ugrupowanie zagrażające Turla wykorzystywało nowego backdoora o nazwie TinyTurla-NG w kampanii trwającej trzy miesiące. Celem ataku były w szczególności organizacje pozarządowe w Polsce. Podobnie jak jego poprzednik, TinyTurla-NG działa jako kompaktowy backdoor „ostatniej szansy”. Jest strategicznie wdrażany tak, aby pozostawał w stanie uśpienia do czasu, aż wszystkie inne mechanizmy nieautoryzowanego dostępu lub mechanizmy backdoora w zaatakowanych systemach zawiodą lub zostaną wykryte.

W lutym 2024 analitycy cyberbezpieczeństwa odkryli nową kampanię Turla prezentującą innowacyjne strategie i zmodyfikowany wariant trojana Kazuar. W tej konkretnej operacji ataku zagrożenie Kazuar zostało przekazane docelowym ofiarom za pośrednictwem wcześniej nieudokumentowanego opakowania o nazwie Pelmeni .

Turla APT pozostaje głównym cyberzagrożeniem pomimo lat szczegółowych operacji ataków

Grupa Turla jest wytrwałym i trwałym przeciwnikiem, mogącym poszczycić się długą historią działań. Ich pochodzenie, taktyka i wybór celów sugerują, że operacja odbywała się przy użyciu odpowiednich zasobów, prowadzona przez doświadczonych agentów. Przez lata Turla konsekwentnie udoskonalała swoje narzędzia i metodologie, wskazując na zaangażowanie w ciągłe udoskonalanie.

Zagrożenie stwarzane przez grupy takie jak Turla podkreśla konieczność zachowania czujności przez organizacje i rządy. Wymaga to śledzenia rozwoju wydarzeń, wymiany informacji wywiadowczych i wdrażania solidnych środków bezpieczeństwa. Takie proaktywne kroki umożliwiają zarówno grupom, jak i jednostkom wzmocnienie obrony przed zagrożeniami stwarzanymi przez takie podmioty.