Turla Backdoor
O Turla Backdoor Trojan é uma ameaça de malware que foi vinculada ao Turla APT, Advanced Persistent Threat, um grupo criminoso localizado na Rússia que tem sido responsável por inúmeros ataques de alto perfil desde pelo menos 2009. O Turla também é conhecido como Snake ou Uroburos e realizou ataques a diversas empresas e nações ao redor do mundo. A polícia tem monitorado as atividades do Turla APT por um bom tempo. Nos seus ataques, o Turla APT usou uma grande variedade de ameaças de malware, com uma das principais sendo conhecida como Turla Backdoor.
Índice
Por Que o Turla Backdoor é Ameaçador
O Turla Backdoor tem visto inúmeras variantes desde que foi desenvolvido em 2009. Na verdade, existem inúmeros Trojans de backdoor usados em ataques ligados ao Turla APT, que podem ou não ter sido precursores da versão do Turla Backdoor que está sendo observado nestes ataques atualmente. Os analistas de malware identificaram na mais recente versão do Turla Backdoor, pelo menos três escritórios estrangeiros de diferentes países da Europa sendo alvo desta ameaça. Tal como acontece com muitos outros ataques do Turla APT, os principais alvos dos ataques do Turla Backdoor parecem ser diplomatas e políticos, possivelmente como parte de um ataque coordenado, instigado pelo governo russo.
Qual é o Objetivo dos Ataques do Turla Backdoor
As primeiras versões do Turla Backdoor foram observadas em 2009, e recebeu melhorias constantes ao longo dos anos. Em 2016, a capacidade de receber comandos por meio de um anexo de arquivo PDF corrompido foi adicionada a essa ameaça. O Turla Backdoor foi atualizado para permitir que o Turla Backdoor executasse os comandos do PowerShell no computador infectado em 2018. A última versão do Turla Backdoor foi projetada para realizar ataques usando o Microsoft Outlook. O Turla Backdoor tem como alvo uma vulnerabilidade na Messaging Application Programming Interface no Outlook para obter acesso às comunicações da vítima. O Turla Backdoor recebe os seus comandos dos seus controladores de mensagens de e-mail especialmente projetadas, e recebidas pelo host infectado, em vez de receber comandos através de um servidor de Comando e Controle. Uma vez que o Turla Backdoor tenha sido instalado em um computador, o Turla Backdoor pode ser usado para coletar dados do computador infectado, entregar outros malwares ou realizar uma variedade de outros ataques. O Turla Backdoor também pode ser usado para se espalhar ainda mais no computador ou na rede infectada.
Como o Turla Backdoor Alcança Persistência e Evita a Detecção
O Turla Backdoor alcança a persistência no computador infectado usando uma vulnerabilidade conhecida no Microsoft Windows. O Turla Backdoor aproveita a vulnerabilidade do Modelo de Objeto Componente que foi observada em vários outros ataques de malware. O Turla Backdoor se injeta em processos legítimos do Outlook no computador infectado usando esse exploit. Isso permite que o Turla Backdoor evite o software de segurança, já que o programa anti-vírus da vítima não detectará o código corrompido do Turla Backdoor operando no dispositivo infectado. Embora o Turla Backdoor não seja um rootkit, a maneira como ele se infiltra nos dispositivos dá ao Turla Backdoor uma capacidade quase que de rootkit, tornando-o muito difícil detectar e remover uma vez que a infecção tenha sido realizada.
Protegendo os Seus Dispositivos e Rede contra o Turla Backdoor
Não há dúvida de que o Turla Backdoor é uma ameaça sofisticada que é implantada por um APT que possui recursos e suporte consideráveis. Por causa disso, qualquer proteção contra ameaças como o Turla Backdoor deve ser implantada em várias frentes. Os usuários de computador devem garantir que todos os softwares e hardwares sejam totalmente atualizados e protegidos contra ataques. Além disso, os usuários de computador também são aconselhados a garantir que eles usem senhas fortes e uma higiene on-line adequada ao navegar na Web ou baixar conteúdo.
