Turla APT

Turla, tiež známa ako zamyslená medvedica, Uroburos a had, predstavuje sofistikovanú pokročilú pretrvávajúcu hrozbu (APT) pochádzajúcu z Ruska s históriou siahajúcou minimálne do roku 2004 a údajnými väzbami na ruskú Federálnu bezpečnostnú službu (FSB). Turla, známa svojimi cielenými prienikmi a špičkovou taktikou utajenia, si získala povesť impozantného a nepolapiteľného protivníka, ktorý predvádza výnimočnú technickú zdatnosť pri organizovaní skrytých a tajných kybernetických útokov.

V priebehu rokov Turla rozšírila svoj dosah do viac ako 45 krajín a prenikla do rôznych sektorov, ako sú vládne agentúry, diplomatické misie, vojenské zariadenia, ako aj vzdelávacie, výskumné a farmaceutické inštitúcie. Okrem toho je skupina zapojená do aktivít súvisiacich s rusko-ukrajinským konfliktom, ktorý vypukol vo februári 2022, podľa správ ukrajinského CERT, čo naznačuje špionážne operácie zamerané na ukrajinské obranné záujmy.

Aj keď Turla zamerala svoje špionážne úsilie predovšetkým na systémy založené na Windowse, preukázala schopnosti zamerať sa na platformy MacOS a Linux. Vďaka neúnavnému vývoju Turla nazhromaždila impozantný arzenál malvérových nástrojov vrátane, ale nie výlučne, Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon a HyperStack a TinyTurla , ktoré boli aktívne využívané v rôznych kampaniach. .

Turla sa začína zameriavať na systémy Linux

V roku 2014 už Turla pôsobila v kybernetickej krajine niekoľko rokov, no spôsob jej infekcie zostal záhadou. Výskum uskutočnený v tom istom roku objasnil sofistikovaný viacstupňový útok s názvom Epic Turla, ktorý odhalil využitie rodiny malvéru Epic spoločnosťou Turla. Táto kampaň využívala zraniteľné miesta CVE-2013-5065 a CVE-2013-3346 a využívala spear-phishingové e-maily vyzbrojené exploitmi Adobe PDF spolu s technikami zalievania využívajúcimi Java exploity (CVE-2012-1723).

Pozoruhodným aspektom tejto kampane bolo nasadenie pokročilých zadných dvierok Turla, ako je Carbon/Cobra, príležitostne využívajúce oboje ako mechanizmus núdzového prepnutia.

Predchádzajúce operácie Turly sa zameriavali predovšetkým na systémy Windows, ale v auguste 2014 sa situácia zmenila, keď sa Turla po prvý raz pustila na územie Linuxu. Táto iniciatíva, známa ako Penguin Turla, videla skupinu využívajúcu modul Linux Turla so spustiteľným súborom C/C++ staticky prepojeným s viacerými knižnicami, čím sa výrazne zvýšila veľkosť súboru pre túto konkrétnu operáciu.

Turla predstavuje nové hrozby škodlivého softvéru vo svojich útočných operáciách

V roku 2016 skupina známa ako Waterbug, údajne štátom sponzorovaná entita, použila varianty Trojan.Turla a Trojan.Wipbot na zneužitie zraniteľnosti zero-day, konkrétne sa zamerala na zraniteľnosť eskalácie lokálnych privilégií Windows Kernel NDProxy.sys (CVE-2013 -5065). Podľa zistení výskumu útočníci využívali precízne vytvorené e-maily obsahujúce nebezpečné prílohy spolu so sieťou napadnutých webových stránok na doručenie ich hanebného obsahu.

Nasledujúci rok výskumníci odhalili pokročilú iteráciu malvéru Turla - zadné vrátka druhej fázy identifikované ako uhlík. Začatie uhlíkového útoku zvyčajne zahŕňa obeť, ktorá buď dostane e-mail s podvodným phishingom, alebo narazí na napadnutú webovú stránku, hovorovo známu ako napájadlo.

Následne sa nainštaluje backdoor prvej fázy ako Tavdig alebo Skipper . Po dokončení prieskumných aktivít, Carbon framework organizuje inštaláciu svojich zadných dvierok druhej fázy na kritických systémoch. Tento rámec obsahuje dropper zodpovedný za inštaláciu jeho konfiguračného súboru, komunikačný komponent na interakciu so serverom Command and Control (C&C), orchestrátor na riadenie úloh a bočný pohyb v rámci siete a zavádzač na spustenie orchestrátora.

Turla's Kazuar Backdoor vstupuje na scénu

V máji 2017 výskumníci v oblasti kybernetickej bezpečnosti spojili novoobjaveného trójskeho koňa so zadnými vrátkami, Kazuara, so skupinou Turla. Vyvinutý pomocou Microsoft .NET Framework, Kazuar sa môže pochváliť vysoko funkčnými príkazovými sadami schopnými na diaľku načítať ďalšie doplnky.

Kazuar funguje tak, že zhromažďuje informácie o názvoch súborov systému a malvéru, vytvára mutex na zabezpečenie jedinečného spustenia a pridáva súbor LNK do spúšťacieho priečinka Windows.

Príkazové sady v Kazuare vykazujú podobnosti s tými, ktoré sa nachádzajú v iných backdoor trójskych koňoch. Napríklad príkaz tasklist využíva dotaz Windows Management Instrumentation (WMI) na načítanie spustených procesov zo systému Windows, zatiaľ čo príkaz info zhromažďuje údaje o otvorených oknách. Okrem toho príkaz cmd Kazuar vykonáva príkazy pomocou cmd.exe pre systémy Windows a /bin/bash pre systémy Unix, čo naznačuje jeho dizajn ako multiplatformový malvér zameraný na prostredia Windows aj Unix.

Ďalší výskum začiatkom roku 2021 odhalil pozoruhodné paralely medzi zadnými vrátkami Sunburst a Kazuar.

V roku 2017 prebiehajú ďalšie útočné kampane Turla

Turla predstavila nové zadné vrátka druhej fázy s názvom Gazer, kódované v C++, využívajúce útoky typu watering-hole a spear-phishing kampane na presné zacielenie na obete.

Okrem vylepšených schopností stealth vykazoval Gazer mnohé podobnosti s predtým používanými zadnými vrátkami druhej fázy, ako sú Carbon a Kazuar. Pozoruhodnou črtou tejto kampane bola integrácia viet „súvisiacich s videohrou“ do kódu. Turla zabezpečila server Gazer's Command and Control (C&C) šifrovaním pomocou vlastnej knižnice pre šifrovanie 3DES a RSA.

Turla zahŕňa hrozby a infraštruktúru od iných skupín zaoberajúcich sa počítačovou kriminalitou

V roku 2018 spravodajská správa uviedla, že Turla použila novo vyvinuté škodlivé nástroje Neuron a Nautilus spolu so Snake Rootkit na zacielenie na počítače so systémom Windows, s osobitným zameraním na poštové a webové servery. Turla využila kompromitované obete hadov na skenovanie ASPX shellov, pričom prenášala príkazy cez šifrované hodnoty HTTP cookie. Turla využila ASPX shelly na vytvorenie počiatočného prístupu k cieľovým systémom na nasadenie ďalších nástrojov.

V roku 2018 sa Turla opäť zamerala na zahraničné kancelárie európskych vlád s cieľom infiltrovať veľmi citlivé informácie cez zadné vrátka. Táto kampaň bola zameraná na Microsoft Outlook a The Bat!, široko používaný poštový klient vo východnej Európe, ktorý presmerováva všetky odchádzajúce e-maily na útočníkov. Backdoor využíval e-mailové správy na extrakciu údajov, pričom využíval špeciálne vytvorené dokumenty PDF a využíval e-mailové správy ako kanál pre svoj server Command and Control (C&C).

V roku 2019 operátori Turla využili infraštruktúru OilRig, skupiny APT spojenej s Iránom, ktorá je známa tým, že sa zameriava na vládne subjekty a organizácie na Blízkom východe, na vykonávanie vlastných útočných operácií. Táto kampaň zahŕňala nasadenie výrazne upraveného vlastného variantu nástroja Mimikatz spolu s novým súborom nástrojov s niekoľkými čerstvými zadnými vrátkami. V neskorších fázach kampane skupina Turla využívala odlišné zadné vrátka Remote Procedure Call (RPC), ktoré obsahovalo kód z verejne dostupného nástroja PowerShell Runner na spúšťanie skriptov PowerShell bez spoliehania sa na powershell.exe.

Nové backdoor hrozby vydané v priebehu roka 2020

V marci 2020 bezpečnostní analytici pozorovali, ako Turla využíva útoky typu „water-hole“ s cieľom zamerať sa na početné arménske webové stránky. Do týchto webových stránok bol vložený poškodený kód JavaScript, hoci presné metódy prístupu použité pri útokoch zostávajú nezverejnené.

Napadnuté webové stránky následne distribuovali kompromitovaný kód JavaScript v druhej fáze, aby identifikovali prehliadače obetí a primäli ich, aby nainštalovali zlý inštalačný program Flash. Turla potom využila NetFlash , .NET downloader, a PyFlash na nasadenie sekundárneho malvéru.

O niekoľko mesiacov neskôr Turla nasadil ComRAT v4 , alias Agent.BTZ, ako Remote Access Trojan (RAT). Tento malvér, vytvorený pomocou C++, obsahuje virtuálny súborový systém FAT16, ktorý sa často používa na exfiltráciu citlivých dokumentov. Je šírený prostredníctvom zavedených prístupových trás, ako je napríklad backdoor PowerStallion PowerShell, pričom využíva HTTP a e-mail ako kanály Command and Control (C&C).

Ku koncu roka 2020 odborníci na kybernetickú bezpečnosť narazili na nezdokumentovaný nástroj na extrahovanie zadných dvierok a dokumentov s názvom Crutch , pripisovaný skupine Turla. Skoršie verzie Crutch obsahovali zadné vrátka komunikujúce s vopred určeným účtom Dropbox cez oficiálne HTTP API.

Toto zadné vrátka disponovalo schopnosťou vykonávať príkazy súvisiace s manipuláciou so súbormi, vykonávaním procesov a vytváraním stálosti prostredníctvom únosu DLL v prehliadačoch Google Chrome, Mozilla Firefox alebo Microsoft OneDrive. Je pozoruhodné, že Crutch v4 sa môže pochváliť automatizovanou funkciou na nahrávanie lokálnych a vymeniteľných súborov na úložisku Dropbox, ktorú uľahčuje Windows verzia pomôcky Wget, na rozdiel od predchádzajúcich iterácií závislých na zadných vrátkach.

Skupina Turla APT odhaľuje malvér TinyTurla a začína sa zameriavať na aktíva na Ukrajine

Vznik zadných dvierok TinyTurla sa dostal do pozornosti v roku 2021. Táto hrozba pravdepodobne slúži ako pohotovostný plán, ktorý umožňuje trvalý prístup k systémom aj v prípade odstránenia primárneho škodlivého softvéru. Inštalácia tohto zadného vrátka je uľahčená prostredníctvom dávkového súboru a prejavuje sa ako servisná knižnica DLL s názvom w64time.dll, ktorej cieľom je napodobniť legitímny súbor w32time.dll na platformách Windows.

Uprostred ruskej invázie na Ukrajinu sa Turla APT preorientovala na ciele, ktoré sú v súlade s ruskými záujmami v konflikte. Oznámenie ukrajinského tímu pre počítačovú núdzovú reakciu (CERT-UA) z júla 2023 odhalilo, že Turla využíva malvér Capibar a zadné vrátka Kazuar na špionážne aktivity zamerané na ukrajinské obranné prostriedky. V tejto operácii bol Capibar zamestnaný na zhromažďovanie spravodajských informácií, zatiaľ čo Kazuar sa špecializoval na krádeže poverení. Útok bol zameraný predovšetkým na diplomatické a vojenské subjekty prostredníctvom phishingových kampaní.

Vznik TinyTurla-NG a Pelmeni Wrapper

Koncom roka 2023 bol aktér hrozby Turla pozorovaný, ako v kampani trvajúcej tri mesiace využíva nové zadné vrátka s názvom TinyTurla-NG. Útočná operácia sa zamerala najmä na mimovládne organizácie v Poľsku. Podobne ako jeho predchodca, TinyTurla-NG funguje ako kompaktné zadné vrátka „poslednej záchrany“. Je strategicky nasadená tak, aby zostala nečinná, kým všetky ostatné mechanizmy neoprávneného prístupu alebo zadné vrátka na napadnutých systémoch buď zlyhajú, alebo sa neodhalia.

Vo februári 2024 odhalili analytici kybernetickej bezpečnosti novú kampaň Turla, ktorá predstavila inovatívne stratégie a upravený variant trójskeho koňa Kazuar. V tejto konkrétnej útočnej operácii bola hrozba Kazuar distribuovaná medzi cielené obete prostredníctvom predtým nezdokumentovaného obalu s názvom Pelmeni .

Turla APT zostáva hlavnou kybernetickou hrozbou napriek rokom podrobných útočných operácií

Skupina Turla je vytrvalým a trvalým protivníkom, ktorý sa môže pochváliť dlhou históriou aktivít. Ich pôvod, taktika a výber cieľov naznačujú dobre zabezpečenú operáciu pod vedením šikovných agentov. V priebehu rokov spoločnosť Turla neustále zdokonaľovala svoje nástroje a metodiky, čo naznačuje záväzok k neustálemu zdokonaľovaniu.

Hrozba, ktorú predstavujú skupiny ako Turla, podčiarkuje imperatív organizácií a vlád, aby boli ostražití. To znamená držať krok s vývojom, vymieňať si spravodajské informácie a implementovať robustné bezpečnostné opatrenia. Takéto proaktívne kroky umožňujú skupinám aj jednotlivcom posilniť svoju obranu proti hrozbám, ktoré títo aktéri predstavujú.