Turla APT
Turla, znan tudi kot Pensive Ursa, Uroburos in Snake, predstavlja sofisticirano Advanced Persistent Threat (APT), ki izvira iz Rusije, z zgodovino sega vsaj v leto 2004 in domnevno povezan z rusko zvezno varnostno službo (FSB). Turla, znan po svojih ciljanih vdorih in vrhunskih taktikah prikrivanja, si je prislužil sloves mogočnega in izmuzljivega nasprotnika, ki prikazuje izjemno tehnično moč pri orkestriranju prikritih in prikritih kibernetskih napadov.
Z leti je Turla razširila svoj doseg v več kot 45 državah in se infiltrirala v raznoliko paleto sektorjev, kot so vladne agencije, diplomatske misije, vojaške ustanove, pa tudi izobraževalne, raziskovalne in farmacevtske ustanove. Poleg tega je bila skupina vpletena v dejavnosti, povezane z rusko-ukrajinskim konfliktom, ki je izbruhnil februarja 2022, kot poroča ukrajinski CERT, kar kaže na vohunske operacije, usmerjene proti ukrajinskim obrambnim interesom.
Čeprav je Turla svoja vohunska prizadevanja osredotočila predvsem na sisteme, ki temeljijo na sistemu Windows, je dokazala zmogljivosti za ciljanje na platformi macOS in Linux. Z neusmiljenim razvojem je Turla zbrala izjemen arzenal zlonamernih orodij, med drugim Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon in HyperStack ter TinyTurla , ki so bila aktivno uporabljena v različnih grozilnih kampanjah. .
Kazalo
Turla začne ciljati na sisteme Linux
Do leta 2014 je Turla že nekaj let delovala v kibernetskem okolju, vendar je način njene okužbe ostal skrivnost. Raziskava, izvedena istega leta, je osvetlila prefinjen večstopenjski napad, imenovan Epic Turla, in razkrila Turlino uporabo družine zlonamerne programske opreme Epic. Ta kampanja je izkoriščala ranljivosti CVE-2013-5065 in CVE-2013-3346, pri čemer je izkoriščala e-poštna sporočila s lažnim predstavljanjem, oborožena z izkoriščanji Adobe PDF, skupaj s tehnikami zalivanja, ki uporabljajo izkoriščanja Jave (CVE-2012-1723).
Pomemben vidik te kampanje je bila Turlina uvedba naprednih stranskih vrat, kot je Carbon/Cobra, pri čemer je oba občasno uporabila kot mehanizem za preklop.
Predhodne operacije Turle so bile pretežno usmerjene v sisteme Windows, toda avgusta 2014 se je krajina spremenila, ko je Turla prvič stopila na ozemlje Linuxa. Pri tej pobudi, znani kot Penguin Turla, je skupina uporabila modul Linux Turla, ki vsebuje izvedljivo datoteko C/C++, ki je statično povezana z več knjižnicami, kar je znatno povečalo velikost datoteke za to posebno operacijo.
Turla predstavlja nove grožnje zlonamerne programske opreme v svojih operacijah napadov
Leta 2016 je skupina, znana kot Waterbug, domnevno sponzorirana od države, uporabila različici Trojan.Turla in Trojan.Wipbot , da bi izkoristila ranljivost ničelnega dne, posebej ciljala na lokalno ranljivost stopnjevanja privilegijev Windows Kernel NDProxy.sys (CVE-2013). -5065). Glede na ugotovitve raziskave so napadalci uporabili natančno izdelana e-poštna sporočila, ki so vsebovala nevarne priloge, skupaj z omrežjem ogroženih spletnih mest za dostavo svojih zlobnih vsebin.
Naslednje leto so raziskovalci odkrili napredno ponovitev zlonamerne programske opreme Turla – stranska vrata druge stopnje, identificirana kot Carbon. Začetek napada Carbon običajno vključuje, da žrtev bodisi prejme e-poštno sporočilo s lažnim predstavljanjem bodisi naleti na ogroženo spletno mesto, pogovorno znano kot vodna luknja.
Nato se namesti zadnja vrata prve stopnje, kot sta Tavdig ali Skipper . Po zaključku izvidniških dejavnosti ogrodje Carbon orkestrira namestitev svojih stranskih vrat druge stopnje na kritičnih sistemih. To ogrodje obsega kapalko, ki je odgovorna za namestitev svoje konfiguracijske datoteke, komunikacijsko komponento za interakcijo s strežnikom za ukazovanje in nadzor (C&C), orkestrator za upravljanje nalog in stranskega gibanja znotraj omrežja ter nalagalnik za izvajanje orkestratorja.
Turla's Kazuar Backdoor vstopi na sceno
Maja 2017 so raziskovalci kibernetske varnosti na novo odkritega zakulisnega trojanca Kazuar povezali s skupino Turla. Kazuar, razvit z uporabo Microsoft .NET Framework, se ponaša z zelo funkcionalnimi nabori ukazov, ki lahko na daljavo naložijo dodatne vtičnike.
Kazuar deluje tako, da zbira informacije o imenih sistemskih in zlonamernih programskih datotek, vzpostavi mutex za zagotovitev posameznega izvajanja in dodaja datoteko LNK v zagonsko mapo Windows.
Nabori ukazov znotraj Kazuarja kažejo podobnost s tistimi, ki jih najdemo v drugih trojanskih konjah za zakulisna vrata. Na primer, ukaz seznama opravil uporablja poizvedbo Windows Management Instrumentation (WMI) za pridobivanje tekočih procesov iz sistema Windows, medtem ko ukaz info zbira podatke o odprtih oknih. Poleg tega Kazuarjev ukaz cmd izvaja ukaze z uporabo cmd.exe za sisteme Windows in /bin/bash za sisteme Unix, kar kaže na njegovo zasnovo kot zlonamerno programsko opremo za več platform, ki cilja na okolja Windows in Unix.
Nadaljnje raziskave v začetku leta 2021 so razkrile pomembne vzporednice med zadnjimi vrati Sunburst in Kazuar.
V letu 2017 poteka več kampanj za napad na Turla
Turla je predstavil svežo stransko stransko stransko stran, imenovano Gazer, kodirano v C++, ki izkorišča napade z vodo in lažno lažno predstavljanje za natančno ciljanje žrtev.
Poleg svojih izboljšanih prikritih zmogljivosti je Gazer pokazal številne podobnosti s prej uporabljenimi stranskimi vrati druge stopnje, kot sta Carbon in Kazuar. Pomembna lastnost te kampanje je bila integracija stavkov, povezanih z video igrami, v kodo. Turla je zavarovala Gazerjev strežnik za upravljanje in nadzor (C&C) tako, da ga je šifrirala s svojo lastniško knjižnico za šifriranje 3DES in RSA.
Turla vključuje grožnje in infrastrukturo drugih skupin kibernetskega kriminala
Leta 2018 je poročilo obveščevalnih služb pokazalo, da je Turla uporabil na novo razvita škodljiva orodja, Neuron in Nautilus , skupaj s Snake Rootkit , da cilja na stroje Windows, s posebnim poudarkom na poštnih in spletnih strežnikih. Turla je uporabil ogrožene žrtve Snake za skeniranje lupin ASPX in prenašal ukaze prek šifriranih vrednosti piškotkov HTTP. Turla je uporabil lupine ASPX za vzpostavitev začetnega dostopa do ciljnih sistemov za uvajanje dodatnih orodij.
Leta 2018 se je Turla ponovno osredotočila na zunanje urade evropskih vlad, da bi se skozi stranska vrata infiltrirala v zelo občutljive podatke. Ta kampanja je bila usmerjena v Microsoft Outlook in The Bat!, široko uporabljan poštni odjemalec v Vzhodni Evropi, ki je vsa odhodna e-poštna sporočila preusmeril na napadalce. Backdoor je uporabil e-poštna sporočila za ekstrahiranje podatkov, pri čemer je uporabil posebej oblikovane dokumente PDF in uporabil e-poštna sporočila kot kanal za svoj strežnik za poveljevanje in nadzor (C&C).
Leta 2019 so operaterji Turla izkoristili infrastrukturo OilRiga, skupine APT, povezane z Iranom, ki je znana po napadih na vladne subjekte in organizacije na Bližnjem vzhodu, za izvajanje lastnih napadov. Ta kampanja je vključevala uvedbo močno spremenjene različice orodja Mimikatz po meri poleg nove palete orodij, ki vsebujejo več svežih stranskih vrat. V kasnejših fazah kampanje je skupina Turla uporabila ločena stranska vrata Remote Procedure Call (RPC), ki je vključevala kodo iz javno dostopnega orodja PowerShell Runner za izvajanje skriptov PowerShell brez zanašanja na powershell.exe.
Nove zakulisne grožnje, objavljene skozi vse leto 2020
Marca 2020 so varnostni analitiki opazili, da je Turla uporabljal napade z vodnimi luknjami, da bi ciljal na številna armenska spletna mesta. Tem spletnim stranem je bila vbrizgana poškodovana koda JavaScript, čeprav natančni načini dostopa, uporabljeni v napadih, ostajajo nerazkriti.
Kasneje so ogrožene spletne strani distribuirale drugostopenjsko ogroženo kodo JavaScript za prepoznavanje brskalnikov žrtev in jih prepričale, da namestijo slab namestitveni program Flash. Turla je nato uporabil NetFlash , prenosnik .NET, in PyFlash za svojo sekundarno uvedbo zlonamerne programske opreme.
Nekaj mesecev pozneje je Turla uporabil ComRAT v4 , alias Agent.BTZ, kot trojanca za oddaljeni dostop (RAT). Ta zlonamerna programska oprema, ustvarjena s C++, ima navidezni datotečni sistem FAT16, ki se pogosto uporablja za izločanje občutljivih dokumentov. Razširja se po uveljavljenih dostopnih poteh, kot je stranska vrata PowerStallion PowerShell, medtem ko uporablja HTTP in e-pošto kot kanale za ukaz in nadzor (C&C).
Proti koncu leta 2020 so strokovnjaki za kibernetsko varnost naleteli na nedokumentirana stranska vrata in ekstraktor dokumentov z imenom Crutch , ki ga pripisujejo skupini Turla. Prejšnje različice Crutch so vključevale stranska vrata, ki so komunicirala z vnaprej določenim računom Dropbox prek uradnega HTTP API-ja.
Ta stranska vrata so imela zmožnosti izvajanja ukazov, povezanih z manipulacijo datotek, izvajanjem procesov in vzpostavljanjem obstojnosti z ugrabitvijo DLL v brskalnikih Google Chrome, Mozilla Firefox ali Microsoft OneDrive. Predvsem se Crutch v4 ponaša z avtomatizirano funkcijo za nalaganje lokalnih in izmenljivih datotek pogona v shrambo Dropbox, ki jo omogoča Windows različica pripomočka Wget, za razliko od prejšnjih iteracij, ki so odvisne od ukazov backdoor.
Skupina Turla APT sprosti zlonamerno programsko opremo TinyTurla in začne ciljati na sredstva v Ukrajini
Pojav stranskih vrat TinyTurla je pritegnil pozornost leta 2021. Ta grožnja verjetno služi kot načrt za izredne razmere, ki omogoča trajen dostop do sistemov tudi v primeru primarne odstranitve zlonamerne programske opreme. Namestitev tega backdoorja je olajšana s paketno datoteko in se manifestira kot storitveni DLL z imenom w64time.dll, katerega namen je posnemati legitimno datoteko w32time.dll na platformah Windows.
Sredi ruske invazije na Ukrajino se je Turla APT osredotočil na cilje, ki so bili usklajeni z ruskimi interesi v konfliktu. Obvestilo ukrajinske ekipe za odzivanje na računalniške nujne primere (CERT-UA) julija 2023 je razkrilo Turlino uporabo zlonamerne programske opreme Capibar in stranskih vrat Kazuar za vohunske dejavnosti, usmerjene proti ukrajinskim obrambnim sredstvom. V tej operaciji je bil Capibar zaposlen za zbiranje obveščevalnih podatkov, medtem ko se je Kazuar specializiral za krajo poverilnic. Napad je bil usmerjen predvsem na diplomatske in vojaške subjekte prek lažnih kampanj.
Pojav TinyTurla-NG in Pelmeni Wrapper
Proti koncu leta 2023 so opazili akterja grožnje Turla, ki uporablja nova stranska vrata z imenom TinyTurla-NG v kampanji, ki je trajala tri mesece. Operacija napada je bila posebej usmerjena na nevladne organizacije na Poljskem. Podobno kot njegov predhodnik, TinyTurla-NG deluje kot kompaktna stranska vrata v zadnji možnosti. Strateško je nameščen tako, da ostane v stanju mirovanja, dokler vsi drugi nepooblaščeni dostopi ali mehanizmi za stranska vrata v ogroženih sistemih ne odpovejo ali so odkriti.
Februarja 2024 so analitiki kibernetske varnosti odkrili novo kampanjo Turla, ki prikazuje inovativne strategije in spremenjeno različico trojanca Kazuar. V tej napadalni operaciji je bila grožnja Kazuar razdeljena ciljnim žrtvam prek prej nedokumentiranega ovoja z imenom Pelmeni .
Turla APT ostaja velika kibernetska grožnja kljub letom podrobnih napadov
Skupina Turla je vztrajen in trpežen nasprotnik, ki se ponaša z dolgoletno zgodovino delovanja. Njihov izvor, taktika in izbira tarč kažejo na operacijo z dobrimi viri, ki jo vodijo spretni operativci. Skozi leta je Turla dosledno izboljševala svoja orodja in metodologije, kar kaže na zavezanost nenehnemu izpopolnjevanju.
Grožnja, ki jo predstavljajo skupine, kot je Turla, poudarja, da morajo organizacije in vlade ohraniti pazljivost. To vključuje spremljanje razvoja dogodkov, izmenjavo obveščevalnih podatkov in izvajanje strogih varnostnih ukrepov. Takšni proaktivni koraki omogočajo skupinam in posameznikom, da okrepijo svojo obrambo pred grožnjami, ki jih predstavljajo takšni akterji.
