Turla APT

O Turla, também conhecido como Pensive Ursa, Uroburos e Snake, representa uma sofisticada Ameaça Persistente Avançada (APT) originária da Rússia, com uma história que remonta pelo menos a 2004 e supostas ligações com o Serviço Federal de Segurança Russo (FSB). Reconhecido por suas invasões direcionadas e táticas furtivas de ponta, Turla ganhou a reputação de ser um adversário formidável e evasivo, demonstrando habilidade técnica excepcional na orquestração de ataques cibernéticos secretos e furtivos.

Ao longo dos anos, o Turla alargou o seu alcance a mais de 45 países, infiltrando-se num conjunto diversificado de setores, tais como agências governamontais, missões diplomáticas, estabelecimentos militares, bem como instituições educacionais, de investigação e farmacêuticas. Além disso, o grupo esteve implicado em atividades relacionadas com o conflito Rússia-Ucrânia que eclodiu em fevereiro de 2022, de acordo com relatórios do CERT da Ucrânia, indicando operações de espionagem dirigidas aos interesses de defesa ucranianos.

Embora o Turla tenha concentrado predominantemente seus esforços de espionagem em sistemas baseados em Windows, ela demonstrou capacidades para atingir plataformas macOS e Linux. Através do desenvolvimento incansável, o Turla acumulou um formidável arsenal de ferramentas de malware, incluindo, entre outros, Capibar, Kazuar, Snake, Kopiluwak, QUIETCANARY/Tunnus, Crutch, ComRAT, Carbon e HyperStack e TinyTurla, que têm sido ativamente empregados em várias campanhas ameaçadoras. .

O Turla Começa a Visar os Sistemas Linux

Em 2014, o Turla já operava no cenário cibernético há vários anos, mas o método de sua infecção permanecia um mistério. Uma pesquisa realizada no mesmo ano lançou luz sobre um sofisticado ataque em vários estágios denominado Epic Turla, revelando a utilização da família de malware Epic pelo Turla. Esta campanha explorou as vulnerabilidades CVE-2013-5065 e CVE-2013-3346, aproveitando e-mails de spear-phishing armados com explorações de Adobe PDF juntamente com técnicas watering hole que empregam explorações de Java (CVE-2012-1723).

Um aspecto notável desta campanha foi a implantação de backdoors avançados pelo Turla, como Carbon/Cobra, ocasionalmente utilizando ambos como mecanismo de failover.

As operações anteriores do Turla visavam predominantemente sistemas Windows, mas em agosto de 2014, o cenário mudou quando a Turla se aventurou no território Linux pela primeira vez. Conhecida como Penguin Turla, esta iniciativa viu o grupo empregar um módulo Linux Turla apresentando um executável C/C++ vinculado estaticamente a múltiplas bibliotecas, aumentando significativamente o tamanho do arquivo para esta operação específica.

O Turla Apresenta Novas Ameaças de Malware nas Suas Operações de Ataque

Em 2016, um grupo conhecido como Waterbug, supostamente uma entidade patrocinada pelo estado, empregou variantes de Trojan.Turla e Trojan.Wipbot para explorar uma vulnerabilidade de dia zero, visando especificamente a vulnerabilidade de escalonamento de privilégios locais NDProxy.sys do kernel do Windows (CVE-2013 -5065). De acordo com os resultados da pesquisa, os invasores utilizaram e-mails meticulosamente elaborados contendo anexos inseguros, juntamente com uma rede de sites comprometidos, para entregar suas cargas nefastas.

No ano seguinte, os pesquisadores descobriram uma iteração avançada do malware Turla – um backdoor de segundo estágio identificado como Carbon. O início de um ataque Carbon normalmente envolve a vítima recebendo um e-mail de spear-phishing ou encontrando um site comprometido, coloquialmente conhecido como watering hole.

Posteriormente, um backdoor de primeiro estágio como Tavdig ou Skipper é instalado. Após a conclusão das atividades de reconhecimento, a estrutura Carbon orquestra a instalação de seu backdoor de segundo estágio em sistemas críticos. Este framework é composto por um dropper responsável pela instalação de seu arquivo de configuração, um componente de comunicação para interagir com o servidor de Comando e Controle (C&C), um orquestrador para gerenciamento de tarefas e movimentação lateral dentro da rede e um carregador para execução do orquestrador.

O Kazuar Backdoor do Turla Entra em Cena

Em maio de 2017, pesquisadores de segurança cibernética vincularam um Trojan backdoor recém-descoberto, Kazuar, ao grupo Turla. Desenvolvido usando o Microsoft .NET Framework, Kazuar possui conjuntos de comandos altamente funcionais, capazes de carregar plug-ins adicionais remotamente.

Kazuar opera coletando informações de nome de arquivo de malware e do sistema, estabelecendo um mutex para garantir a execução singular e adicionando um arquivo LNK à pasta de inicialização do Windows.

Os conjuntos de comandos do Kazuar apresentam semelhanças com aqueles encontrados em outros Trojans backdoor. Por exemplo, o comando tasklist utiliza uma consulta Windows Management Instrumentation (WMI) para recuperar processos em execução do Windows, enquanto o comando info coleta dados em janelas abertas. Além disso, o comando cmd de Kazuar executa comandos usando cmd.exe para sistemas Windows e /bin/bash para sistemas Unix, indicando seu design como um malware de plataforma cruzada direcionado a ambientes Windows e Unix.

Outras pesquisas no início de 2021 revelaram paralelos notáveis entre os backdoors Sunburst e Kazuar.

Mais Campanhas de Ataques do Turla Acontecendo em 2017

Turla introduziu um novo backdoor de segundo estágio chamado Gazer, codificado em C++, aproveitando ataques watering hole e campanhas de spear-phishing para atingir as vítimas com precisão.

Além de suas capacidades furtivas aprimoradas, o Gazer exibia inúmeras semelhanças com backdoors de segundo estágio empregados anteriormente, como Carbon e Kazuar. Uma característica notável desta campanha foi a integração de frases “relacionadas a videogames” no código. O Turla protegeu o servidor de Comando e Controle (C&C) do Gazer criptografando-o com sua biblioteca proprietária para criptografia 3DES e RSA.

O Turla Incorpora Ameaças e Infraestrutura de Outros Grupos de Crimes Cibernéticos

Em 2018, um relatório de inteligência indicou que o Turla empregou ferramentas prejudiciais recentemente desenvolvidas, o Neuron e o Nautilus, juntamente com o Snake Rootkit, para atingir máquinas Windows, com foco particular em servidores de correio e Web. Turla utilizou vítimas comprometidas do Snake para procurar shells ASPX, transmitindo comandos por meio de valores de cookies HTTP criptografados. Turla aproveitou shells ASPX para estabelecer acesso inicial aos sistemas de destino para a implantação de ferramentas adicionais.

Mais uma vez em 2018, o Turla voltou-se para os escritórios de relações exteriores dos governos europeus, com o objetivo de infiltrar informações altamente sensíveis através de uma porta dos fundos. Esta campanha teve como alvo o Microsoft Outlook e o The Bat!, um cliente de e-mail amplamente utilizado na Europa Oriental, redirecionando todos os e-mails enviados para os invasores. O backdoor utilizou mensagens de e-mail para extrair dados, empregando documentos PDF especialmente criados e utilizando mensagens de e-mail como canal para seu servidor de Comando e Controle (C&C).

Em 2019, os operadores do Turla exploraram a infraestrutura da OilRig, um grupo APT associado ao Irão conhecido por visar entidades e organizações governamentais no Médio Oriente, para conduzir as suas próprias operações de ataque. Esta campanha envolveu a implantação de uma variante personalizada e fortemente modificada da ferramenta Mimikatz, juntamente com uma nova gama de ferramentas com vários backdoors novos. Nas fases posteriores da campanha, o grupo Turla utilizou um backdoor distinto de Chamada de Procedimento Remoto (RPC), incorporando código da ferramenta PowerShell Runner acessível ao público para executar scripts do PowerShell sem depender de powershell.exe.

Novas Ameaças de Backdoor Lançadas ao Longo de 2020

Em março de 2020, analistas de segurança observaram o Turla empregando ataques watering hole para atingir vários sites armênios. Esses sites foram injetados com código JavaScript corrompido, embora os métodos precisos de acesso utilizados nos ataques permaneçam desconhecidos.

Posteriormente, as páginas da web comprometidas distribuíram código JavaScript comprometido de segundo estágio para identificar os navegadores vítimas e persuadi-los a instalar um instalador Flash ruim. Turla então aproveitou o  NetFlash, um downloader .NET, e o PyFlash para sua implantação secundária de malware.

Alguns meses depois, Turla empregou o ComRAT v4, também conhecido como Agent.BTZ, como um Trojan de Acesso Remoto (RAT). Este malware, criado em C++, apresenta um sistema de arquivos virtual FAT16 frequentemente utilizado para exfiltrar documentos confidenciais. Ele é disseminado por meio de rotas de acesso estabelecidas, como o backdoor PowerStallion PowerShell, ao mesmo tempo que emprega HTTP e e-mail como canais de Comando e Controle (C&C).

No final de 2020, especialistas em segurança cibernética se depararam com um backdoor e extrator de documentos não documentados chamado Crutch, atribuído ao grupo Turla. Versões anteriores do Crutch incluíam um backdoor que se comunicava com uma conta Dropbox pré-determinada por meio da API HTTP oficial.

Esse backdoor possuía recursos para executar comandos relacionados à manipulação de arquivos, execução de processos e estabelecimento de persistência por meio de sequestro de DLL no Google Chrome, Mozilla Firefox ou Microsoft OneDrive. Notavelmente, o Crutch v4 possui um recurso automatizado para fazer upload de arquivos de unidades locais e removíveis para o armazenamento do Dropbox, facilitado pela versão Windows do utilitário Wget, ao contrário das iterações anteriores que dependiam de comandos backdoor.

O Grupo Turla APT Libera o Malware TinyTurla e Começa a Visar Ativos da Ucrânia

O surgimento do backdoor TinyTurla chamou a atenção em 2021. Esta ameaça provavelmente serve como um plano de contingência, permitindo acesso sustentado aos sistemas mesmo no caso de remoção primária de malware. A instalação desse backdoor é facilitada por meio de um arquivo em lote e se manifesta como uma DLL de serviço chamada w64time.dll, com o objetivo de imitar o arquivo w32time.dll legítimo nas plataformas Windows.

No meio da invasão russa da Ucrânia, o Turla APT redirecionou o seu foco para alvos alinhados com os interesses da Rússia no conflito. Um anúncio da Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) em julho de 2023 revelou a utilização por Turla do malware Capibar e do backdoor Kazuar para atividades de espionagem visando ativos de defesa ucranianos. Nesta operação, Capibar foi contratado para coleta de inteligência, enquanto Kazuar se especializou em roubo de credenciais. O ataque teve como alvo predominantemente entidades diplomáticas e militares através de campanhas de phishing.

O Surgimento do TinyTurla-NG e do Pelmeni Wrapper

Perto do final de 2023, o ator da ameaça Turla foi observado empregando um novo backdoor chamado TinyTurla-NG em uma campanha que durou três meses. A operação de ataque visou especificamente organizações não governamentais na Polónia. Semelhante ao seu antecessor, o, TinyTurla-NG funciona como um backdoor compacto de ‘último recurso’. Ele é estrategicamente implantado para permanecer inativo até que todos os outros mecanismos de acesso não autorizado ou backdoor nos sistemas comprometidos falhem ou sejam descobertos.

Em fevereiro de 2024, analistas de segurança cibernética descobriram uma nova campanha Turla apresentando estratégias inovadoras e uma variante modificada do Trojan Kazuar. Nesta operação de ataque específica, a ameaça Kazuar foi distribuída às vítimas visadas através de um invólucro anteriormente não documentado chamado Pelmeni.

O Turla APT Continua sendo uma Grande Ameaça Cibernética, Apesar de Anos de Operações de Ataque Detalhadas

O grupo Turla permanece como um adversário persistente e duradouro, ostentando um longo historial de actividades. Suas origens, táticas e escolha de alvos sugerem uma operação com bons recursos, liderada por agentes competentes. Ao longo dos anos, o Turla aprimorou consistentemente suas ferramentas e metodologias, indicando um compromisso com o aprimoramento contínuo.

A ameaça representada por grupos com o Turla sublinha a necessidade de que as organizações e os governos mantenham a vigilância. Isto implica manter-se a par da evolução, trocar informações e implementar medidas de segurança robustas. Estas medidas proactivas permitem que grupos e indivíduos reforcem as suas defesas contra as ameaças colocadas por tais intervenientes.