Turla APT

Turla, cunoscută și sub numele de Ursă Închizătoare, Uroburos și Șarpe, reprezintă o amenințare persistentă avansată (APT) sofisticată, originară din Rusia, cu o istorie care datează cel puțin din 2004 și presupuse legături cu Serviciul Federal de Securitate al Rusiei (FSB). Renumit pentru intruziunile sale vizate și tacticile de ultimă oră, Turla și-a câștigat o reputație de adversar formidabil și evaziv, dând dovadă de pricepere tehnică excepțională în orchestrarea atacurilor cibernetice ascunse și ascunse.

De-a lungul anilor, Turla și-a extins acoperirea în peste 45 de țări, infiltrăndu-se într-o gamă diversă de sectoare, cum ar fi agenții guvernamentale, misiuni diplomatice, instituții militare, precum și instituții de învățământ, cercetare și farmaceutice. În plus, grupul a fost implicat în activități legate de conflictul ruso-ucrainean care a izbucnit în februarie 2022, conform rapoartelor CERT din Ucraina, care indică operațiuni de spionaj îndreptate către interesele de apărare ucrainene.

Deși Turla și-a concentrat în mod predominant eforturile de spionaj pe sisteme bazate pe Windows, a demonstrat capabilități de a viza platformele macOS și Linux. Printr-o dezvoltare neobosită, Turla a adunat un arsenal formidabil de instrumente malware, inclusiv, dar fără a se limita la, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon și HyperStack și TinyTurla , care au fost folosite activ în diferite campanii amenințătoare. .

Turla începe să vizeze sistemele Linux

Până în 2014, Turla activa deja de câțiva ani în peisajul cibernetic, dar metoda de infectare a rămas un mister. Cercetările efectuate în același an au aruncat lumină asupra unui atac sofisticat în mai multe etape, numit Epic Turla, dezvăluind utilizarea de către Turla a familiei de malware Epic. Această campanie a exploatat vulnerabilitățile CVE-2013-5065 și CVE-2013-3346, valorificând e-mailurile de tip spear-phishing înarmate cu exploit Adobe PDF, alături de tehnici de udare care utilizează exploit Java (CVE-2012-1723).

Un aspect notabil al acestei campanii a fost implementarea de către Turla a ușilor din spate avansate, cum ar fi Carbon/Cobra, utilizându-le ocazional pe ambele ca mecanism de failover.

Operațiunile anterioare Turla au vizat predominant sistemele Windows, dar în august 2014, peisajul s-a schimbat pe măsură ce Turla s-a aventurat pe teritoriul Linux pentru prima dată. Cunoscută sub numele de Penguin Turla, această inițiativă a văzut grupul utilizând un modul Linux Turla cu un executabil C/C++ legat static cu mai multe biblioteci, crescând semnificativ dimensiunea fișierului pentru această operațiune specială.

Turla introduce noi amenințări malware în operațiunile sale de atac

În 2016, un grup cunoscut sub numele de Waterbug, presupusa o entitate sponsorizată de stat, a folosit variante ale Trojan.Turla și Trojan.Wipbot pentru a exploata o vulnerabilitate de zi zero, vizând în mod specific vulnerabilitatea de escaladare a privilegiilor locale NDProxy.sys (CVE-2013) -5065). Conform rezultatelor cercetării, atacatorii au folosit e-mailuri meticulos elaborate, care conțineau atașamente nesigure, alături de o rețea de site-uri web compromise pentru a-și livra sarcinile nefaste.

În anul următor, cercetătorii au descoperit o iterație avansată a malware-ului Turla - o ușă din spate din a doua etapă identificată ca Carbon. Inițierea unui atac Carbon implică, de obicei, ca victima fie să primească un e-mail de tip spear-phishing, fie să dau peste un site web compromis, cunoscut în mod colocvial ca o gaură de apă.

Ulterior, este instalată o ușă din spate de primă etapă, cum ar fi Tavdig sau Skipper . După finalizarea activităților de recunoaștere, cadrul Carbon orchestrează instalarea ușii din spate din a doua etapă pe sistemele critice. Acest cadru cuprinde un dropper responsabil cu instalarea fișierului său de configurare, o componentă de comunicare pentru a interacționa cu serverul de comandă și control (C&C), un orchestrator pentru gestionarea sarcinilor și mișcării laterale în rețea și un încărcător pentru executarea orchestratorului.

Ușa din spate Kazuar a lui Turla intră în scenă

În mai 2017, cercetătorii în domeniul securității cibernetice au legat un troian nou descoperit, Kazuar, de grupul Turla. Dezvoltat folosind Microsoft .NET Framework, Kazuar are seturi de comenzi foarte funcționale capabile să încarce de la distanță plug-in-uri suplimentare.

Kazuar funcționează prin colectarea informațiilor despre numele fișierelor de sistem și malware, stabilind un mutex pentru a asigura execuția singulară și adăugând un fișier LNK în folderul de pornire Windows.

Seturile de comenzi din Kazuar prezintă asemănări cu cele găsite în alte troiene backdoor. De exemplu, comanda tasklist utilizează o interogare Windows Management Instrumentation (WMI) pentru a prelua procesele care rulează din Windows, în timp ce comanda info colectează date pe ferestrele deschise. Mai mult, comanda cmd a lui Kazuar execută comenzi folosind cmd.exe pentru sistemele Windows și /bin/bash pentru sistemele Unix, indicând designul său ca un malware multiplatform care vizează atât mediile Windows, cât și mediile Unix.

Cercetările ulterioare la începutul lui 2021 au dezvăluit paralele notabile între ușile din spate Sunburst și Kazuar.

Mai multe campanii de atac Turla care au loc în 2017

Turla a introdus o nouă ușă din spate din a doua etapă numită Gazer, codificată în C++, care folosește atacurile și campaniile de spear-phishing pentru a viza exact victimele.

Pe lângă capacitățile sale de stealth îmbunătățite, Gazer a prezentat numeroase asemănări cu ușile din spatele din a doua etapă folosite anterior, cum ar fi Carbon și Kazuar. O caracteristică notabilă a acestei campanii a fost integrarea propozițiilor „legate de jocuri video” în cod. Turla a securizat serverul Gazer de Comandă și Control (C&C) prin criptarea acestuia cu biblioteca proprie pentru criptarea 3DES și RSA.

Turla încorporează amenințări și infrastructură de la alte grupuri de criminalitate cibernetică

În 2018, un raport de informații a indicat că Turla a folosit instrumente dăunătoare nou dezvoltate, Neuron și Nautilus , alături de Snake Rootkit , pentru a viza mașinile Windows, cu un accent deosebit pe serverele de e-mail și web. Turla a folosit victimele Snake compromise pentru a scana shell-uri ASPX, transmitând comenzi prin intermediul valorilor cookie HTTP criptate. Turla a folosit shell-uri ASPX pentru a stabili accesul inițial la sistemele țintă pentru implementarea instrumentelor suplimentare.

Încă o dată în 2018, Turla și-a pus ochii pe birourile externe ale guvernelor europene, urmărind să infiltreze informații extrem de sensibile printr-o ușă din spate. Această campanie a vizat Microsoft Outlook și The Bat!, un client de e-mail utilizat pe scară largă în Europa de Est, redirecționând toate e-mailurile trimise către atacatori. Ușa din spate a folosit mesaje de e-mail pentru a extrage date, utilizând documente PDF special concepute și utilizând mesajele de e-mail ca un canal pentru serverul său de comandă și control (C&C).

În 2019, operatorii Turla au exploatat infrastructura OilRig, un grup APT asociat cu Iranul, cunoscut pentru că vizează entități și organizații guvernamentale din Orientul Mijlociu, pentru a-și desfășura propriile operațiuni de atac. Această campanie a implicat implementarea unei variante personalizate, puternic modificate, a instrumentului Mimikatz , alături de o nouă gamă de instrumente cu mai multe uși din spate noi. În fazele ulterioare ale campaniei, grupul Turla a folosit un backdoor distinct Remote Procedure Call (RPC), încorporând cod din instrumentul PowerShell Runner, accesibil public, pentru a executa scripturi PowerShell fără a se baza pe powershell.exe.

Noi amenințări Backdoor lansate pe tot parcursul anului 2020

În martie 2020, analiștii de securitate au observat că Turla folosea atacuri de apă pentru a viza numeroase site-uri web armenești. Aceste site-uri web au fost injectate cu cod JavaScript corupt, deși metodele precise de acces utilizate în atacuri rămân nedezvăluite.

Ulterior, paginile web compromise au distribuit cod JavaScript compromis din a doua etapă pentru a identifica browserele victime și a le convinge să instaleze un program de instalare Flash prost. Turla a folosit apoi NetFlash , un program de descărcare .NET, și PyFlash pentru implementarea secundară a programelor malware.

Câteva luni mai târziu, Turla a angajat ComRAT v4 , alias Agent.BTZ, ca troian de acces la distanță (RAT). Acest malware, creat folosind C++, are un sistem de fișiere virtual FAT16 utilizat frecvent pentru exfiltrarea documentelor sensibile. Este diseminat prin rute de acces stabilite, cum ar fi ușa din spate PowerStallion PowerShell, utilizând HTTP și e-mail ca canale de comandă și control (C&C).

Spre sfârșitul anului 2020, experții în securitate cibernetică au dat peste o ușă nedocumentată și un extractor de documente, numit Crutch , atribuit grupului Turla. Versiunile anterioare de Crutch au inclus o ușă din spate care comunica cu un cont Dropbox predeterminat prin intermediul API-ului HTTP oficial.

Această ușă din spate poseda capabilități de a executa comenzi legate de manipularea fișierelor, execuția procesului și stabilirea persistenței prin deturnarea DLL pe Google Chrome, Mozilla Firefox sau Microsoft OneDrive. În special, Crutch v4 se mândrește cu o funcție automată pentru a încărca fișiere de unitate locale și amovibile în stocarea Dropbox, facilitată de versiunea Windows a utilitarului Wget, spre deosebire de iterațiile anterioare bazate pe comenzile backdoor.

Grupul Turla APT lansează programul malware TinyTurla și începe să vizeze activele în Ucraina

Apariția ușii din spate TinyTurla a intrat în atenție în 2021. Această amenințare servește probabil ca un plan de urgență, permițând acces susținut la sisteme chiar și în cazul eliminării programelor malware primare. Instalarea acestei uși din spate este facilitată printr-un fișier batch și se manifestă ca un DLL de serviciu numit w64time.dll, cu scopul de a imita fișierul legitim w32time.dll pe platformele Windows.

În mijlocul invaziei ruse a Ucrainei, APT Turla și-a redirecționat atenția către ținte aliniate cu interesele Rusiei în conflict. Un anunț al Echipa Ucrainei de Răspuns la Urgențe Informatice (CERT-UA) din iulie 2023 a dezvăluit utilizarea de către Turla a malware-ului Capibar și a ușii din spate Kazuar pentru activități de spionaj care vizează activele de apărare ucrainene. În această operațiune, Capibar a fost angajat pentru strângerea de informații, în timp ce Kazuar s-a specializat în furtul de acreditări. Atacul a vizat în mod predominant entități diplomatice și militare prin campanii de phishing.

Apariția TinyTurla-NG și Pelmeni Wrapper

Spre sfârșitul anului 2023, actorul amenințării Turla a fost observat folosind o nouă ușă din spate numită TinyTurla-NG într-o campanie de trei luni. Operațiunea de atac a vizat în mod special organizațiile neguvernamentale din Polonia. Similar cu predecesorul său, TinyTurla-NG funcționează ca o ușă din spate compactă „de ultimă instanță”. Este implementat strategic pentru a rămâne inactiv până când toate celelalte mecanisme de acces neautorizat sau backdoor de pe sistemele compromise fie au eșuat, fie au fost descoperite.

În februarie 2024, analiștii de securitate cibernetică au descoperit o nouă campanie Turla care prezintă strategii inovatoare și o variantă modificată a troianului Kazuar. În această operațiune de atac special, amenințarea Kazuar a fost distribuită victimelor vizate printr-un înveliș anterior nedocumentat numit Pelmeni .

Turla APT rămâne o amenințare cibernetică majoră, în ciuda anilor de operațiuni detaliate de atac

Grupul Turla este un adversar persistent și de durată, lăudându-se cu un istoric îndelungat de activități. Originile, tactica și alegerea țintelor lor sugerează o operațiune cu resurse bine conduse de agenți adepți. De-a lungul anilor, Turla și-a îmbunătățit constant instrumentele și metodologiile, indicând un angajament pentru rafinarea continuă.

Amenințarea reprezentată de grupuri precum Turla subliniază imperativul ca organizațiile și guvernele să mențină vigilență. Aceasta presupune să rămâneți la curent cu evoluțiile, să faceți schimb de informații și să implementați măsuri de securitate solide. Astfel de măsuri proactive permit atât grupurilor, cât și indivizilor să-și consolideze apărarea împotriva amenințărilor reprezentate de astfel de actori.