APT-хакеры Turla представляют бэкдор TinyTurla

Говоря о российских хакерах, нельзя не упомянуть группу Turla APT (Advanced Persistent Threat). За их деятельностью внимательно наблюдают с 2014 года, и они считаются одной из основных хакерских групп, поддерживаемых Россией. Их самый печально известный имплант назван в честь самой группы - Turla Backdoor. Конечно, с момента первого выпуска он претерпел серьезные изменения, но злоумышленники продолжают полагаться на своего трояна и по сей день. Фактически, они недавно выпустили «мини-версию» угрозы - бэкдор TinyTurla. Он сохраняет некоторые оригинальные особенности Turla Backdoor , но ему также не хватает некоторых аспектов. Однако ограниченная функциональность позволяет ему оставаться скрытым в течение длительного времени, не вызывая слишком большого количества красных флажков.

Отсутствие функциональности вряд ли станет проблемой для хакеров Turla, поскольку у них, похоже, есть план того, как будет использоваться бэкдор TinyTurla. Вместо того, чтобы выполнять полноценные атаки самостоятельно, он предназначен для обеспечения устойчивости и последующего развертывания дополнительных полезных нагрузок. Это могло бы объяснить, почему преступники решили убрать некоторые из его функций и вместо этого сосредоточиться на уклончивости.

Цели, которые интересуют хакеров Turla APT, по всей видимости, находятся в Германии и США. Конечно, вероятно, не пройдет много времени, прежде чем они расширят объем этой операции и развернут бэкдор TinyTurla в других странах.

Помимо заимствования кода Turla Backdoor, имплант TinyTurla также использует ту же конфигурацию сети и серверы, еще больше укрепляя связь между печально известными хакерами и этим мини-троянцем-бэкдором.

Что включают в себя возможности TinyTurla Backdoor?

Несмотря на то, что ему не хватает некоторых примечательных функций, он все же обладает достаточной огневой мощью, чтобы причинить вред. Преступники могут управлять имплантатом удаленно с помощью набора заранее определенных команд. Благодаря им они могут управлять файловой системой, контролировать процессы и даже изменять конфигурацию сети. Одна интересная особенность бэкдора TinyTurla заключается в том, что он требует от злоумышленников аутентификации. Это, вероятно, предназначено для защиты имплантата от других преступников или любопытных аналитиков вредоносных программ. Пока активность TinyTurla Backdoor остается довольно низкой. Однако нам еще предстоит увидеть, как будет развиваться эта кампания хакеров Turla APT.