Turla APT

Turla, i njohur gjithashtu si Ursa, Uroburos dhe Gjarpri i zhytur në mendime, përfaqëson një kërcënim të sofistikuar të përhershëm të avancuar (APT) me origjinë nga Rusia, me një histori që daton të paktën në 2004 dhe lidhje të supozuara me Shërbimin Federal të Sigurisë Ruse (FSB). E njohur për ndërhyrjet e saj të synuara dhe taktikat e fundit të vjedhjes, Turla ka fituar një reputacion si një kundërshtar i frikshëm dhe i pakapshëm, duke shfaqur aftësi të jashtëzakonshme teknike në orkestrimin e sulmeve të fshehta dhe të fshehta kibernetike.

Gjatë viteve, Turla ka shtrirë shtrirjen e saj në më shumë se 45 vende, duke depërtuar në një sërë sektorësh të tillë si agjencitë qeveritare, misionet diplomatike, institucionet ushtarake, si dhe institucionet arsimore, kërkimore dhe farmaceutike. Për më tepër, grupi ka qenë i implikuar në aktivitete në lidhje me konfliktin ruso-ukrainas që shpërtheu në shkurt 2022, sipas raporteve nga CERT i Ukrainës, duke treguar operacione spiunazhi të drejtuara ndaj interesave të mbrojtjes ukrainase.

Megjithëse Turla kryesisht i përqendroi përpjekjet e saj spiunazhi në sistemet e bazuara në Windows, ajo ka demonstruar aftësi për të synuar platformat macOS dhe Linux. Nëpërmjet zhvillimit të pandërprerë, Turla ka grumbulluar një arsenal të mrekullueshëm mjetesh malware, duke përfshirë, por pa u kufizuar në Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon dhe HyperStack dhe TinyTurla , të cilat janë përdorur në mënyrë aktive në fushata të ndryshme kërcënuese. .

Turla fillon të synojë sistemet Linux

Deri në vitin 2014, Turla kishte disa vite që operonte në peizazhin kibernetik, megjithatë mënyra e infektimit të saj mbeti një mister. Hulumtimi i kryer në të njëjtin vit hodhi dritë mbi një sulm të sofistikuar me shumë faza të quajtur Epic Turla, duke zbuluar përdorimin nga Turla të familjes së malware Epic. Kjo fushatë shfrytëzoi dobësitë CVE-2013-5065 dhe CVE-2013-3346, duke shfrytëzuar emailet spear-phishing të armatosur me shfrytëzime të Adobe PDF së bashku me teknikat e ujitjes që përdorin shfrytëzime Java (CVE-2012-1723).

Një aspekt i dukshëm i kësaj fushate ishte vendosja nga Turla e dyerve të përparuara të prapambetura si Carbon/Cobra, duke i përdorur herë pas here të dyja si një mekanizëm failover.

Operacionet e mëparshme Turla synonin kryesisht sistemet Windows, por në gusht 2014, peizazhi ndryshoi ndërsa Turla u fut në territorin Linux për herë të parë. I njohur si Penguin Turla, kjo nismë pa që grupi të përdorte një modul Linux Turla që përmban një ekzekutues C/C++ të lidhur në mënyrë statike kundër bibliotekave të shumta, duke rritur ndjeshëm madhësinë e skedarit për këtë operacion të veçantë.

Turla prezanton kërcënime të reja malware në operacionet e saj të sulmit

Në vitin 2016, një grup i njohur si Waterbug, me sa duket një ent i sponsorizuar nga shteti, përdori variante të Trojan.Turla dhe Trojan.Wipbot për të shfrytëzuar një cenueshmëri të ditës zero, duke synuar në mënyrë specifike cenueshmërinë lokale të përshkallëzimit të privilegjit të Windows Kernel NDProxy.sys (CVE- -5065). Sipas gjetjeve të hulumtimit, sulmuesit përdorën emaile të krijuara në mënyrë të përpiktë që përmbanin bashkëngjitje të pasigurta së bashku me një rrjet uebsajtesh të komprometuara për të ofruar ngarkesat e tyre të liga.

Një vit më pas, studiuesit zbuluan një përsëritje të avancuar të malware Turla - një derë e pasme e fazës së dytë të identifikuar si Carbon. Fillimi i një sulmi të karbonit zakonisht përfshin viktimën ose marrjen e një emaili me shtizë phishing ose pengimin në një faqe interneti të komprometuar, e njohur në gjuhën e folur si një vrimë lotimi.

Më pas, instalohet një derë e pasme e fazës së parë si Tavdig ose Skipper . Pas përfundimit të aktiviteteve të zbulimit, korniza e karbonit orkestron instalimin e derës së pasme të fazës së dytë në sistemet kritike. Ky kuadër përfshin një pikatore përgjegjëse për instalimin e skedarit të tij të konfigurimit, një komponent komunikimi për të bashkëvepruar me serverin e Komandës dhe Kontrollit (C&C), një orkestrues për menaxhimin e detyrave dhe lëvizjes anësore brenda rrjetit dhe një ngarkues për ekzekutimin e orkestruesit.

Hyn në skenë “Kazuar Backdoor” i Turlës

Në maj 2017, studiuesit e sigurisë kibernetike lidhën një Trojan të sapo zbuluar, Kazuar, me grupin Turla. Zhvilluar duke përdorur Microsoft .NET Framework, Kazuar krenohet me grupe komandash shumë funksionale të afta për të ngarkuar nga distanca shtesa shtesë.

Kazuar funksionon duke mbledhur informacione për emrin e skedarit të sistemit dhe malware, duke krijuar një mutex për të siguruar ekzekutimin e vetëm dhe duke shtuar një skedar LNK në dosjen e fillimit të Windows.

Komandimet brenda Kazuar shfaqin ngjashmëri me ato të gjetura në trojanët e tjerë të pasme. Për shembull, komanda e listës së detyrave përdor një pyetje të Instrumentimit të Menaxhimit të Windows (WMI) për të tërhequr proceset e ekzekutimit nga Windows, ndërsa komanda e informacionit mbledh të dhëna në dritaret e hapura. Për më tepër, komanda cmd e Kazuar ekzekuton komanda duke përdorur cmd.exe për sistemet Windows dhe /bin/bash për sistemet Unix, duke treguar dizajnin e tij si një malware ndër-platformë që synon të dy mjediset Windows dhe Unix.

Hulumtimet e mëtejshme në fillim të vitit 2021 zbuluan paralele të dukshme midis dyerve të pasme të Sunburst dhe Kazuar.

Më shumë Fushata Sulmi Turla që po zhvillohen në 2017

Turla prezantoi një prapavijë të freskët të fazës së dytë të quajtur Gazer, të koduar në C++, duke shfrytëzuar sulmet me vrima uji dhe fushatat e phishing me shtiza për të synuar saktësisht viktimat.

Përveç aftësive të tij të zgjeruara të fshehta, Gazer shfaqi ngjashmëri të shumta me dyert e pasme të përdorura më parë të fazës së dytë si Carbon dhe Kazuar. Një tipar i dukshëm i kësaj fushate ishte integrimi i fjalive 'të lidhura me videolojërat' brenda kodit. Turla siguroi serverin e Komandës dhe Kontrollit të Gazer (C&C) duke e enkriptuar atë me bibliotekën e saj të pronarit për enkriptimin 3DES dhe RSA.

Turla përfshin kërcënime dhe infrastrukturë nga grupe të tjera të krimit kibernetik

Në vitin 2018, një raport i inteligjencës tregoi se Turla përdorte mjete të dëmshme të zhvilluara rishtazi, Neuron dhe Nautilus , së bashku me Snake Rootkit , për të synuar makinat Windows, me një fokus të veçantë në serverat e postës dhe Web. Turla përdori viktimat e komprometuara të Snake për të skanuar për predha ASPX, duke transmetuar komanda nëpërmjet vlerave të koduara të skedarëve HTTP. Turla përdori predha ASPX për të vendosur aksesin fillestar në sistemet e synuara për vendosjen e mjeteve shtesë.

Edhe një herë në vitin 2018, Turla i vuri sytë zyrave të jashtme të qeverive evropiane, duke synuar të depërtojë në informacione shumë të ndjeshme përmes një dere të pasme. Kjo fushatë synonte Microsoft Outlook dhe The Bat!, një klient poste i përdorur gjerësisht në Evropën Lindore, duke ridrejtuar të gjitha emailet dalëse te sulmuesit. Backdoor përdorte mesazhe emaili për të nxjerrë të dhëna, duke përdorur dokumente PDF të krijuara posaçërisht dhe duke përdorur mesazhet e postës elektronike si një kanal për serverin e tij Command and Control (C&C).

Në vitin 2019, operatorët Turla shfrytëzuan infrastrukturën e OilRig, një grup APT i lidhur me Iranin i njohur për shënjestrimin e entiteteve dhe organizatave qeveritare në Lindjen e Mesme, për të kryer operacionet e tyre të sulmit. Kjo fushatë përfshinte vendosjen e një varianti shumë të modifikuar, të personalizuar të mjetit Mimikatz së bashku me një grup të ri mjetesh me disa dyer të pasme të freskëta. Në fazat e mëvonshme të fushatës, grupi Turla përdori një prapavijë të veçantë të thirrjes së procedurës në distancë (RPC), duke përfshirë kodin nga mjeti PowerShell Runner i aksesueshëm nga publiku për të ekzekutuar skriptet PowerShell pa u mbështetur në powershell.exe.

Kërcënimet e reja të Backdoor të lëshuara gjatë gjithë vitit 2020

Në mars të vitit 2020, analistët e sigurisë vëzhguan Turla duke përdorur sulme për të shënjestruar uebsajte të shumta armene. Këto faqe interneti u injektuan me kod të korruptuar JavaScript, megjithëse metodat e sakta të aksesit të përdorura në sulme mbeten të pazbuluara.

Më pas, faqet e internetit të komprometuara shpërndanë kodin JavaScript të komprometuar të fazës së dytë për të identifikuar shfletuesit viktima dhe për t'i shtyrë ata të instalojnë një instalues të keq Flash. Turla më pas përdori NetFlash , një shkarkues .NET, dhe PyFlash për vendosjen e tij dytësore të malware.

Disa muaj më vonë, Turla përdori ComRAT v4 , alias Agent.BTZ, si një Trojan Remote Access (RAT). Ky malware, i krijuar duke përdorur C++, përmban një sistem skedarësh virtual FAT16 që përdoret shpesh për nxjerrjen e dokumenteve të ndjeshme. Ai shpërndahet përmes rrugëve të vendosura të aksesit, siç është porta e pasme e PowerStallion PowerShell ndërsa përdor HTTP dhe email si kanale të komandës dhe kontrollit (C&C).

Nga fundi i vitit 2020, ekspertët e sigurisë kibernetike hasën në një derë të pasme dhe nxjerrës dokumentesh pa dokumente të quajtur Crutch , që i atribuohet grupit Turla. Versionet e mëparshme të Crutch përfshinin një derë të pasme që komunikonte me një llogari të paracaktuar Dropbox përmes API-së zyrtare HTTP.

Kjo backdoor zotëronte aftësi për të ekzekutuar komanda në lidhje me manipulimin e skedarëve, ekzekutimin e procesit dhe vendosjen e qëndrueshmërisë përmes rrëmbimit të DLL në Google Chrome, Mozilla Firefox ose Microsoft OneDrive. Veçanërisht, Crutch v4 krenohet me një veçori të automatizuar për të ngarkuar skedarët e disqeve lokale dhe të lëvizshme në ruajtjen e Dropbox, të lehtësuar nga versioni Windows i mjetit Wget, ndryshe nga përsëritjet e mëparshme të mbështetura në komandat e pasme.

Grupi Turla APT lëshon malware-in TinyTurla dhe fillon të synojë asetet në Ukrainë

Shfaqja e derës së pasme të TinyTurla erdhi në vëmendje në vitin 2021. Ky kërcënim ka të ngjarë të shërbejë si një plan emergjence, duke mundësuar akses të qëndrueshëm në sisteme edhe në rast të heqjes së malware parësor. Instalimi i kësaj porta të pasme lehtësohet përmes një skedari grumbull dhe shfaqet si një DLL shërbimi i quajtur w64time.dll, duke synuar të imitojë skedarin legjitim w32time.dll në platformat Windows.

Në mes të pushtimit rus të Ukrainës, Turla APT e ridrejtoi fokusin e saj drejt objektivave që përputheshin me interesat e Rusisë në konflikt. Një njoftim nga Ekipi i Reagimit të Emergjencave Kompjuterike të Ukrainës (CERT-UA) në korrik 2023 zbuloi përdorimin nga Turla të malware-it Capibar dhe derës së pasme të Kazuar për aktivitete spiunazhi që synojnë asetet e mbrojtjes ukrainase. Në këtë operacion, Capibar ishte i punësuar për mbledhjen e informacionit, ndërsa Kazuar specializohej për vjedhjen e kredencialeve. Sulmi kishte në shënjestër kryesisht entitete diplomatike dhe ushtarake përmes fushatave të phishing.

Shfaqja e TinyTurla-NG dhe Pelmeni Wrapper

Nga fundi i vitit 2023, aktori i kërcënimit Turla u vu re duke përdorur një prapavijë të re të quajtur TinyTurla-NG në një fushatë që zgjati tre muaj. Operacioni i sulmit synoi veçanërisht organizatat joqeveritare në Poloni. Ngjashëm me paraardhësin e tij, TinyTurla-NG funksionon si një derë e pasme kompakte e "zgjidhjes së fundit". Ai është vendosur në mënyrë strategjike për të qëndruar në gjendje të fjetur derisa të gjitha mekanizmat e tjerë të aksesit të paautorizuar ose mekanizmat e pasme në sistemet e komprometuara ose të kenë dështuar ose të zbulohen.

Në shkurt 2024, analistët e sigurisë kibernetike zbuluan një fushatë të re Turla që tregonte strategji novatore dhe një variant të modifikuar të Trojanit Kazuar. Në këtë operacion të veçantë sulmi, kërcënimi Kazuar iu shpërnda viktimave të synuara nëpërmjet një mbështjellësi të padokumentuar më parë të quajtur Pelmeni .

Turla APT mbetet një kërcënim i madh kibernetik pavarësisht viteve të operacioneve të detajuara të sulmit

Grupi Turla qëndron si një kundërshtar këmbëngulës dhe i qëndrueshëm, me një histori të gjatë aktivitetesh. Origjina e tyre, taktikat dhe zgjedhja e objektivave sugjerojnë një operacion me burime të mira të udhëhequr nga operativë të aftë. Gjatë viteve, Turla ka përmirësuar vazhdimisht mjetet dhe metodologjitë e saj, duke treguar një përkushtim për përsosje të vazhdueshme.

Kërcënimi i paraqitur nga grupe si Turla nënvizon domosdoshmërinë që organizatat dhe qeveritë të ruajnë vigjilencën. Kjo nënkupton qëndrimin në krah të zhvillimeve, shkëmbimin e inteligjencës dhe zbatimin e masave të forta sigurie. Hapat e tillë proaktivë u mundësojnë grupeve dhe individëve të forcojnë mbrojtjen e tyre kundër kërcënimeve të paraqitura nga aktorë të tillë.