Turla APT
Турла, такође позната као Замишљени медвед, Уробурос и Змија, представља софистицирану напредну трајну претњу (АПТ) која потиче из Русије, са историјом која датира најмање од 2004. године и наводним везама са руском Федералном службом безбедности (ФСБ). Чувен по својим циљаним упадима и најсавременијим тактикама прикривања, Турла је стекао репутацију страшног и неухватљивог противника, показујући изузетну техничку снагу у оркестрирању тајних и прикривених сајбер напада.
Током година, Турла је проширила свој домет у више од 45 земаља, инфилтрирајући се у разноврстан низ сектора као што су владине агенције, дипломатске мисије, војне установе, као и образовне, истраживачке и фармацеутске институције. Поред тога, група је умешана у активности везане за руско-украјински сукоб који је избио у фебруару 2022, према извештајима украјинског ЦЕРТ-а, што указује на шпијунске операције усмерене на украјинске одбрамбене интересе.
Иако је Турла своје шпијунске напоре углавном фокусирала на системе засноване на Виндовс-у, она је показала могућности да циља на мацОС и Линук платформе. Кроз неуморни развој, Турла је прикупила огроман арсенал алата за малвер, укључујући, али не ограничавајући се на Цапибар, Казуар, Снаке , Копилувак , КУИЕТЦАНАРИ/Туннус, Црутцх , ЦомРАТ , Царбон и ХиперСтацк и ТиниТурла , који су активно користили различите кампање за претње. .
Преглед садржаја
Турла почиње да циља на Линук системе
До 2014. године, Турла је већ неколико година деловала у сајбер пејзажу, али је начин заразе остао мистерија. Истраживање спроведено исте године бацило је светло на софистицирани вишестепени напад назван Епиц Турла, откривајући Турлино коришћење породице Епиц малвера. Ова кампања је искоришћавала рањивости ЦВЕ-2013-5065 и ЦВЕ-2013-3346, користећи е-поруке за крађу идентитета наоружане Адобе ПДФ експлоатацијама заједно са техникама залијевања које користе Јава експлоатације (ЦВЕ-2012-1723).
Значајан аспект ове кампање био је Турлино постављање напредних бацкдоор-а као што су Царбон/Цобра, повремено користећи и једно и друго као механизам за превазилажење грешке.
Претходне операције Турле су углавном биле усмерене на Виндовс системе, али у августу 2014, пејзаж се променио када је Турла први пут ушао на територију Линука. Позната као Пенгуин Турла, ова иницијатива је довела до тога да група користи Линук Турла модул који садржи Ц/Ц++ извршну датотеку статички повезану са више библиотека, значајно повећавајући њену величину датотеке за ову конкретну операцију.
Турла уводи нове претње од злонамерног софтвера у својим операцијама напада
У 2016. години, група позната као Ватербуг, наводно државно спонзорисана ентитета, користила је варијанте Тројан.Турла и Тројан.Випбот да би искористила рањивост нултог дана, посебно циљајући на рањивост ескалације локалних привилегија Виндовс Кернел НДПроки.сис (ЦВЕ-2013 -5065). Према налазима истраживања, нападачи су користили педантно израђене е-поруке које су садржавале несигурне прилоге заједно са мрежом компромитованих веб локација како би испоручили своје злобне садржаје.
Следеће године, истраживачи су открили напредну итерацију Турла малвера - бацкдоор друге фазе идентификован као Царбон. Покретање Царбон напада обично укључује жртву или примање е-поште за крађу идентитета или наиђе на компромитовану веб локацију, колоквијално познату као заливање.
Затим се инсталира бацкдоор прве фазе као што је Тавдиг или Скиппер . По завршетку извиђачких активности, Царбон фрамеворк оркестрира инсталацију свог другог степена бацкдоор-а на критичним системима. Овај оквир се састоји од испуштача који је одговоран за инсталирање његове конфигурационе датотеке, комуникационе компоненте за интеракцију са сервером за команду и контролу (Ц&Ц), оркестратора за управљање задацима и бочним кретањем унутар мреже и учитавача за извршавање оркестратора.
Турлина Казуар Бацкдоор улази на сцену
У мају 2017. истраживачи сајбер безбедности су повезали новооткривени бацкдоор тројанац, Казуар, са групом Турла. Развијен коришћењем Мицрософт .НЕТ Фрамеворк-а, Казуар се може похвалити веома функционалним скуповима команди који могу да даљински учитавају додатне додатке.
Казуар ради тако што прикупља информације о називу датотеке система и злонамерног софтвера, успостављајући мутекс да би се обезбедило појединачно извршење и додајући ЛНК датотеку у Виндовс директоријум за покретање.
Скупови команди унутар Казуара показују сличности са онима који се налазе у другим бацкдоор тројанцима. На пример, команда листе задатака користи упит Виндовс Манагемент Инструментатион (ВМИ) за преузимање покренутих процеса из Виндовс-а, док инфо команда прикупља податке о отвореним прозорима. Штавише, Казуарова цмд команда извршава команде користећи цмд.еке за Виндовс системе и /бин/басх за Уник системе, што указује на њен дизајн као вишеплатформски малвер који циља и Виндовс и Уник окружења.
Даља истраживања почетком 2021. открила су значајне паралеле између Сунбурст и Казуар бацкдоор-а.
Више кампања за напад Турла у току 2017
Турла је представио нови бацкдоор другог степена под називом Газер, кодиран у Ц++, користећи нападе наводњавања и кампање крађе идентитета како би прецизно циљао жртве.
Поред својих побољшаних стелт способности, Газер је показао бројне сличности са претходно коришћеним бацкдоорима друге фазе као што су Царбон и Казуар. Значајна карактеристика ове кампање била је интеграција реченица које се односе на видео-игре унутар кода. Турла је обезбедио Газеров Цомманд анд Цонтрол (Ц&Ц) сервер тако што га је шифровао својом власничком библиотеком за 3ДЕС и РСА енкрипцију.
Турла укључује претње и инфраструктуру од других група за сајбер криминал
У 2018, извештај обавештајних служби је указао да је Турла користио новоразвијене штетне алате, Неурон и Наутилус , заједно са Снаке Рооткит-ом , за циљање Виндовс машина, са посебним фокусом на мејл и веб сервере. Турла је користио угрожене Снаке жртве да скенира АСПКС шкољке, преносећи команде преко шифрованих вредности ХТТП колачића. Турла је искористио АСПКС шкољке да успостави почетни приступ циљним системима за примену додатних алата.
Турла је још једном у 2018. уперио поглед у иностране канцеларије европских влада, са циљем да инфилтрира веома осетљиве информације кроз позадинска врата. Ова кампања је била усмерена на Мицрософт Оутлоок и Тхе Бат!, широко коришћени мејл клијент у источној Европи, преусмеравајући све одлазне е-поруке на нападаче. Бацкдоор је користио поруке е-поште за издвајање података, користећи посебно израђене ПДФ документе и користећи е-поруке као канал за свој сервер за команду и контролу (Ц&Ц).
Оператери Турле су 2019. године искористили инфраструктуру ОилРиг-а, АПТ групе повезане са Ираном познате по гађању владиних субјеката и организација на Блиском истоку, како би спровели сопствене операције напада. Ова кампања је укључивала примену јако модификоване, прилагођене варијанте Мимикатз алата заједно са новим низом алата са неколико свежих позадинских врата. У каснијим фазама кампање, група Турла је користила посебан бацкдоор Ремоте Процедуре Цалл (РПЦ), укључујући код из јавно доступног алата ПоверСхелл Руннер за извршавање ПоверСхелл скрипти без ослањања на поверсхелл.еке.
Нове претње из скривених врата објављене током 2020
У марту 2020. безбедносни аналитичари су приметили да је Турла користио нападе заливањем како би циљао бројне јерменске веб странице. Ове веб странице су убризгане оштећеним ЈаваСцрипт кодом, иако прецизне методе приступа коришћене у нападима остају неоткривене.
Након тога, компромитоване веб странице су дистрибуирале другостепени компромитовани ЈаваСцрипт код како би идентификовали претраживаче жртве и наговорили их да инсталирају лош Фласх инсталатер. Турла је затим искористио НетФласх , .НЕТ програм за преузимање, и ПиФласх за примену секундарног малвера.
Неколико месеци касније, Турла је користио ЦомРАТ в4 , алиас Агент.БТЗ, као тројанац за даљински приступ (РАТ). Овај малвер, направљен коришћењем Ц++, садржи виртуелни ФАТ16 систем датотека који се често користи за ексфилтрацију осетљивих докумената. Дистрибуира се кроз успостављене приступне руте као што је ПоверСталлион ПоверСхелл бацкдоор док користи ХТТП и е-пошту као командне и контролне (Ц&Ц) канале.
Крајем 2020. стручњаци за сајбер безбедност наишли су на недокументована позадинска врата и екстрактор докумената по имену Црутцх , који се приписује групи Турла. Раније верзије Црутцх-а су укључивале бацкдоор за комуникацију са унапред одређеним Дропбок налогом преко званичног ХТТП АПИ-ја.
Овај бацкдоор је имао могућности да изврши команде које се односе на манипулацију датотекама, извршење процеса и успостављање постојаности путем отмице ДЛЛ-а на Гоогле Цхроме-у, Мозилла Фирефок-у или Мицрософт ОнеДриве-у. Значајно је да Црутцх в4 може да се похвали аутоматизованом функцијом за отпремање датотека локалних и преносивих дискова у Дропбок складиште, што је олакшано Виндовс верзијом услужног програма Вгет, за разлику од претходних итерација које се ослањају на бацкдоор команде.
Група Турла АПТ ослобађа злонамерни софтвер ТиниТурла и почиње да циља средства у Украјини
Појава ТиниТурла бацкдоор-а привукла је пажњу 2021. Ова претња вероватно служи као план за ванредне ситуације, омогућавајући непрекидан приступ системима чак и у случају уклањања примарног малвера. Инсталација овог бацкдоор-а је олакшана преко батцх датотеке и манифестује се као ДЛЛ услуге под називом в64тиме.длл, са циљем да имитира легитимну датотеку в32тиме.длл на Виндовс платформама.
Усред руске инвазије на Украјину, Турла АПТ је преусмерио свој фокус ка циљевима који су усклађени са интересима Русије у сукобу. У саопштењу украјинског тима за компјутерске хитне случајеве (ЦЕРТ-УА) у јулу 2023. откривено је да је Турла користио Цапибар малвер и позадину Казуар за шпијунске активности усмерене на украјинску одбрамбену имовину. У овој операцији, Капибар је био запослен за прикупљање обавештајних података, док се Казуар специјализовао за крађу акредитива. Напад је углавном био усмерен на дипломатске и војне субјекте путем пхисхинг кампања.
Појава ТиниТурла-НГ и Пелмени омотача
Крајем 2023. године, актер претњи Турла је примећен како користи нови бацкдоор под именом ТиниТурла-НГ у кампањи која је трајала три месеца. Операција напада посебно је била усмерена на невладине организације у Пољској. Слично свом претходнику, ТиниТурла-НГ функционише као компактни бацкдоор 'последње уточиште'. Стратешки је распоређен да остане у стању мировања све док сви други неовлашћени приступи или бацкдоор механизми на компромитованим системима не покваре или не буду откривени.
У фебруару 2024. аналитичари за сајбер безбедност су открили нову Турла кампању која приказује иновативне стратегије и модификовану варијанту Тројанца Казуар. У овој конкретној операцији напада, претња Казуара је дистрибуирана циљаним жртвама преко претходно недокументованог омота по имену Пелмени .
Турла АПТ остаје велика сајбер претња упркос годинама детаљних операција напада
Група Турла стоји као упоран и издржљив противник, који се може похвалити дугим искуством у активностима. Њихово порекло, тактика и избор мета сугеришу добро опремљену операцију коју воде вешти оперативци. Током година, Турла је доследно унапређивала своје алате и методологије, што указује на посвећеност континуираном усавршавању.
Претња коју представљају групе попут Турле наглашава императив за организације и владе да одржавају будност. Ово подразумева праћење развоја догађаја, размену обавештајних података и спровођење снажних безбедносних мера. Овакви проактивни кораци омогућавају и групама и појединцима да ојачају своју одбрану од претњи које представљају такви актери.
