Os Hackers do Turla APT Apresentam o TinyTurla Backdoor

Ao falar sobre os hackers russos, não há como não mencionar o grupo Turla APT (Advanced Persistent Threat). Suas operações têm sido observadas de perto desde 2014, e acredita-se que sejam um dos maiores grupos de hackers apoiados pela Rússia. Seu implante mais notório recebeu o nome do próprio grupo - o Turla Backdoor. Claro, ele passou por grandes mudanças desde seu lançamento inicial, mas os criminosos continuam a confiar em seu Trojan até hoje. Na verdade, eles recentemente lançaram uma versão 'mini' da ameaça - o TinyTurla Backdoor. Ele preserva algumas das características originais do Turla Backdoor, mas também carece de alguns aspectos. No entanto, a funcionalidade limitada permite que ele fique oculto por longos períodos, sem acionar muitas bandeiras vermelhas.

É improvável que a falta de funcionalidade seja um problema para os hackers do Turla, uma vez que eles parecem ter um plano de como o backdoor do TinyTurla será usado. Em vez de executar ataques completos por conta própria, ele foi projetado para ganhar persistência e, em seguida, implantar cargas úteis adicionais. Isso explicaria por que os criminosos optaram por retirar algumas de suas características e se concentrar na evasão.

Os alvos nos quais os hackers do Turla APT estão interessados parecem estar baseados na Alemanha e nos Estados Unidos. Claro, provavelmente não demorará muito para que eles expandam o escopo dessa operação e implantem o TinyTurla Backdoor em mais países.

Além de pegar emprestado o código do Turla Backdoor, o implante TinyTurla também aproveita a mesma configuração de rede e servidores, consolidando ainda mais a conexão entre os infames hackers e este mini Trojan backdoor.

O Que os Recursos do Backdoor do TinyTurla Incluem?

Embora falte alguns recursos notáveis, ele ainda tem muito poder de fogo para causar danos. Os criminosos conseguem controlar o implante remotamente por meio de um conjunto de comandos pré-definidos. Graças a eles, eles podem gerenciar o sistema de arquivos, controlar processos e até mesmo modificar a configuração da rede. Um recurso interessante do TinyTurla Backdoor é que ele exige que os criminosos se autentiquem. Isso provavelmente visa proteger o implante de outros criminosos ou analistas de malware intrometidos. Até agora, a atividade do backdoor do TinyTurla permanece bastante baixa. No entanto, ainda estamos para ver como essa campanha dos hackers Turla APT se desenvolverá.