Turla APT

Dalgın Ursa, Uroburos ve Yılan olarak da bilinen Turla, Rusya kökenli, en az 2004 yılına dayanan bir geçmişe sahip ve Rusya Federal Güvenlik Servisi (FSB) ile sözde bağları olan karmaşık bir Gelişmiş Kalıcı Tehdidi (APT) temsil ediyor. Hedefli izinsiz girişler ve son teknoloji gizlilik taktikleriyle tanınan Turla, gizli ve gizli siber saldırıları düzenlemede olağanüstü teknik becerisini sergileyen, zorlu ve yakalanması zor bir düşman olarak ün kazandı.

Yıllar geçtikçe Turla, devlet kurumları, diplomatik misyonlar, askeri kuruluşların yanı sıra eğitim, araştırma ve ilaç kurumları gibi çok çeşitli sektörlere sızarak erişimini 45'ten fazla ülkeye genişletti. Ek olarak, Ukrayna CERT'in Ukrayna savunma çıkarlarına yönelik casusluk operasyonlarına işaret eden raporlarına göre grup, Şubat 2022'de patlak veren Rusya-Ukrayna ihtilafı ile ilgili faaliyetlere de bulaşmış durumda.

Turla, casusluk çalışmalarını ağırlıklı olarak Windows tabanlı sistemlere odaklasa da, macOS ve Linux platformlarını hedef alma yeteneklerini sergiledi. Turla, aralıksız geliştirme sayesinde Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon ve HyperStack ve TinyTurla dahil ancak bunlarla sınırlı olmamak üzere çeşitli tehdit kampanyalarında aktif olarak kullanılan müthiş bir kötü amaçlı yazılım araçları cephaneliği biriktirdi. .

Turla Linux Sistemlerini Hedeflemeye Başlıyor

Turla, 2014 yılına gelindiğinde zaten birkaç yıldır siber ortamda faaliyet gösteriyordu ancak bulaşma yöntemi bir sır olarak kaldı. Aynı yıl yapılan araştırma, Epic Turla adı verilen çok aşamalı karmaşık bir saldırıya ışık tuttu ve Turla'nın Epic kötü amaçlı yazılım ailesini kullandığını ortaya çıkardı. Bu kampanya, CVE-2013-5065 ve CVE-2013-3346 güvenlik açıklarından yararlanarak, Java açıklarından yararlanan (CVE-2012-1723) su kuyusu tekniklerinin yanı sıra Adobe PDF açıklarından yararlanan hedef odaklı kimlik avı e-postalarından yararlandı.

Bu kampanyanın dikkate değer bir yönü, Turla'nın Carbon/Cobra gibi gelişmiş arka kapıları konuşlandırması ve ara sıra her ikisini de yük devretme mekanizması olarak kullanmasıydı.

Önceki Turla operasyonları ağırlıklı olarak Windows sistemlerini hedef alıyordu ancak Ağustos 2014'te Turla'nın ilk kez Linux bölgesine girmesiyle ortam değişti. Penguin Turla olarak bilinen bu girişim, grubun birden çok kitaplığa statik olarak bağlanan bir C/C++ yürütülebilir dosyası içeren bir Linux Turla modülü kullandığını ve bu özel işlem için dosya boyutunu önemli ölçüde artırdığını gördü.

Turla, Saldırı Operasyonlarında Yeni Kötü Amaçlı Yazılım Tehditlerini Tanıtıyor

2016 yılında, devlet destekli bir kuruluş olduğu iddia edilen Waterbug olarak bilinen bir grup, özellikle Windows Çekirdeği NDProxy.sys yerel ayrıcalık yükseltme güvenlik açığını (CVE-2013) hedef alan sıfır gün güvenlik açığından yararlanmak için Trojan.Turla ve Trojan.Wipbot'un varyantlarını kullandı. -5065). Araştırma bulgularına göre saldırganlar, hain yüklerini iletmek için, güvenliği ihlal edilmiş web sitelerinden oluşan bir ağla birlikte, güvenli olmayan ekler içeren titizlikle hazırlanmış e-postaları da kullandı.

Ertesi yıl araştırmacılar, Carbon olarak tanımlanan ikinci aşama bir arka kapı olan Turla kötü amaçlı yazılımının gelişmiş bir versiyonunu ortaya çıkardı. Bir Karbon saldırısının başlatılması, tipik olarak kurbanın hedef odaklı kimlik avı e-postası almasını veya halk dilinde sulama deliği olarak bilinen güvenliği ihlal edilmiş bir web sitesine rastlamasını içerir.

Daha sonra Tavdig veya Skipper gibi bir birinci aşama arka kapısı kurulur. Keşif faaliyetlerinin tamamlanmasının ardından Carbon çerçevesi, ikinci aşama arka kapısının kritik sistemlere kurulumunu düzenler. Bu çerçeve, yapılandırma dosyasının kurulumundan sorumlu bir damlalık, Komuta ve Kontrol (C&C) sunucusuyla etkileşimde bulunmak için bir iletişim bileşeni, ağ içindeki görevleri ve yanal hareketleri yönetmek için bir orkestratör ve orkestratörün yürütülmesi için bir yükleyiciden oluşur.

Turla'nın Kazuar Arka Kapısı Sahneye Giriyor

Mayıs 2017'de siber güvenlik araştırmacıları yeni keşfedilen arka kapı Truva atı Kazuar'ı Turla grubuyla ilişkilendirdi. Microsoft .NET Framework kullanılarak geliştirilen Kazuar, ek eklentileri uzaktan yükleyebilen son derece işlevsel komut setlerine sahiptir.

Kazuar, sistem ve kötü amaçlı yazılım dosya adı bilgilerini toplayarak, tekil yürütmeyi sağlamak için bir muteks oluşturarak ve Windows başlangıç klasörüne bir LNK dosyası ekleyerek çalışır.

Kazuar'ın içindeki komut setleri, diğer arka kapı Truva atlarında bulunanlarla benzerlikler gösteriyor. Örneğin, görev listesi komutu, Windows'tan çalışan işlemleri almak için bir Windows Yönetim Araçları (WMI) sorgusu kullanırken, bilgi komutu açık pencerelerdeki verileri toplar. Dahası, Kazuar'ın cmd komutu, komutları Windows sistemleri için cmd.exe ve Unix sistemleri için /bin/bash kullanarak çalıştırıyor; bu da onun hem Windows hem de Unix ortamlarını hedef alan çapraz platformlu bir kötü amaçlı yazılım olarak tasarlandığını gösteriyor.

2021'in başlarında yapılan daha ileri araştırmalar, Sunburst ve Kazuar arka kapıları arasında dikkate değer paralellikleri ortaya çıkardı.

2017'de Daha Fazla Turla Saldırı Kampanyası Gerçekleşecek

Turla, kurbanları tam olarak hedeflemek için sulama deliği saldırılarından ve hedef odaklı kimlik avı kampanyalarından yararlanan, C++ ile kodlanmış , Gazer adında yeni bir ikinci aşama arka kapıyı kullanıma sundu.

Geliştirilmiş gizlilik yeteneklerine ek olarak Gazer, daha önce kullanılan Carbon ve Kazuar gibi ikinci aşama arka kapılara çok sayıda benzerlik sergiledi. Bu kampanyanın dikkate değer bir özelliği, kod içerisine 'video oyunuyla ilgili' cümlelerin entegre edilmesiydi. Turla, Gazer'in Komuta Kontrol (C&C) sunucusunu 3DES ve RSA şifrelemesine yönelik özel kütüphanesiyle şifreleyerek güvenliğini sağladı.

Turla, Diğer Siber Suç Gruplarından Gelen Tehditleri ve Altyapıyı Birleştiriyor

2018 yılında bir istihbarat raporu, Turla'nın, özellikle posta ve Web sunucularına odaklanarak Windows makinelerini hedeflemek için Snake Rootkit'in yanı sıra yeni geliştirilen zararlı araçlar Neuron ve Nautilus'u kullandığını belirtti. Turla, ASPX kabuklarını taramak ve komutları şifrelenmiş HTTP çerez değerleri aracılığıyla iletmek için güvenliği ihlal edilmiş Snake kurbanlarından yararlandı. Turla, ek araçların dağıtımı için hedef sistemlere ilk erişimi sağlamak amacıyla ASPX kabuklarından yararlandı.

Turla, 2018'de bir kez daha gözünü Avrupa hükümetlerinin dış ofislerine dikerek son derece hassas bilgilere arka kapıdan sızmayı hedefledi. Bu kampanya Microsoft Outlook'u ve Doğu Avrupa'da yaygın olarak kullanılan bir posta istemcisi olan The Bat!'ı hedef alarak giden tüm e-postaları saldırganlara yönlendirdi. Arka kapı, verileri çıkarmak için e-posta mesajlarını kullandı, özel hazırlanmış PDF belgeleri kullandı ve e-posta mesajlarını Komuta ve Kontrol (C&C) sunucusu için bir kanal olarak kullandı.

2019 yılında Turla operatörleri, kendi saldırı operasyonlarını yürütmek için Orta Doğu'daki devlet kurumlarını ve kuruluşlarını hedef aldığı bilinen İran bağlantılı bir APT grubu olan OilRig'in altyapısından yararlandı. Bu kampanya, Mimikatz aracının büyük ölçüde değiştirilmiş, özel bir versiyonunun yanı sıra birkaç yeni arka kapı içeren yeni bir araç dizisinin devreye alınmasını içeriyordu. Kampanyanın sonraki aşamalarında Turla grubu, powershell.exe'ye güvenmeden PowerShell komut dosyalarını yürütmek için kamuya açık PowerShell Runner aracından gelen kodu içeren ayrı bir Uzaktan Prosedür Çağrısı (RPC) arka kapısı kullandı.

2020 Yılı Boyunca Ortaya Çıkan Yeni Arka Kapı Tehditleri

Mart 2020'de güvenlik analistleri Turla'nın çok sayıda Ermeni web sitesini hedef almak için su kuyusu saldırıları kullandığını gözlemledi. Bu web sitelerine bozuk JavaScript kodu enjekte edildi, ancak saldırılarda kullanılan kesin erişim yöntemleri açıklanmadı.

Daha sonra, ele geçirilen web sayfaları, kurban tarayıcıları tespit etmek ve onları kötü bir Flash yükleyici yüklemeye ikna etmek için ikinci aşama tehlikeye atılmış JavaScript kodu dağıttı. Turla daha sonra ikincil kötü amaçlı yazılım dağıtımı için bir .NET indiricisi olan NetFlash'tan ve PyFlash'tan yararlandı.

Birkaç ay sonra Turla, Agent.BTZ takma adıyla ComRAT v4'ü Uzaktan Erişim Truva Atı (RAT) olarak kullandı. C++ kullanılarak hazırlanan bu kötü amaçlı yazılım, hassas belgelere sızmak için sıklıkla kullanılan sanal bir FAT16 dosya sistemine sahiptir. Komuta ve Kontrol (C&C) kanalları olarak HTTP ve e-posta kullanılırken PowerStallion PowerShell arka kapısı gibi yerleşik erişim yolları aracılığıyla dağıtılır.

2020'nin sonlarına doğru siber güvenlik uzmanları, Turla grubuna atfedilen Crutch adlı belgesiz bir arka kapı ve belge çıkarıcıya rastladı. Crutch'ın önceki sürümleri, resmi HTTP API aracılığıyla önceden belirlenmiş bir Dropbox hesabıyla iletişim kuran bir arka kapı içeriyordu.

Bu arka kapı, Google Chrome, Mozilla Firefox veya Microsoft OneDrive'da DLL ele geçirme yoluyla dosya manipülasyonu, süreç yürütme ve kalıcılık oluşturma ile ilgili komutları yürütme yeteneklerine sahipti. Özellikle Crutch v4, arka kapı komutlarına dayanan önceki yinelemelerin aksine, Wget yardımcı programının Windows sürümü tarafından kolaylaştırılan, yerel ve çıkarılabilir sürücü dosyalarını Dropbox depolama alanına yüklemeye yönelik otomatik bir özelliğe sahiptir.

Turla APT Grubu TinyTurla Kötü Amaçlı Yazılımını Ortaya Çıkardı ve Ukrayna'daki Varlıkları Hedeflemeye Başladı

TinyTurla arka kapısının ortaya çıkışı 2021'de dikkat çekti. Bu tehdit muhtemelen bir acil durum planı olarak hizmet ediyor ve kötü amaçlı yazılımların birincil olarak kaldırılması durumunda bile sistemlere sürekli erişim sağlıyor. Bu arka kapının kurulumu bir toplu iş dosyası aracılığıyla kolaylaştırılır ve Windows platformlarındaki meşru w32time.dll dosyasını taklit etmeyi amaçlayan w64time.dll adlı bir hizmet DLL'si olarak gösterilir.

Rusya'nın Ukrayna'yı işgalinin ortasında Turla APT, odağını Rusya'nın çatışmadaki çıkarlarıyla uyumlu hedeflere yönlendirdi. Ukrayna Bilgisayar Acil Durum Müdahale Ekibi'nin (CERT-UA) Temmuz 2023'te yaptığı bir duyuru, Turla'nın Ukrayna savunma varlıklarını hedef alan casusluk faaliyetleri için Capibar kötü amaçlı yazılımını ve Kazuar arka kapısını kullandığını ortaya çıkardı. Bu operasyonda Capibar istihbarat toplamak için görevlendirilirken Kazuar kimlik bilgileri hırsızlığı konusunda uzmanlaştı. Saldırı ağırlıklı olarak kimlik avı kampanyaları aracılığıyla diplomatik ve askeri kuruluşları hedef aldı.

TinyTurla-NG ve Pelmeni Wrapper'ın Ortaya Çıkışı

2023'ün sonlarına doğru Turla tehdit aktörünün, üç ay süren bir kampanyada TinyTurla-NG adlı yeni bir arka kapıyı kullandığı gözlemlendi. Saldırı operasyonunda özellikle Polonya'daki sivil toplum kuruluşları hedef alındı. Önceki modele benzer şekilde TinyTurla-NG , kompakt bir 'son çare' arka kapısı işlevi görüyor. Güvenliği ihlal edilen sistemlerdeki tüm diğer yetkisiz erişim veya arka kapı mekanizmaları başarısız oluncaya veya keşfedilene kadar hareketsiz kalacak şekilde stratejik olarak konuşlandırılmıştır.

Şubat 2024'te siber güvenlik analistleri, yenilikçi stratejileri ve Kazuar Truva Atı'nın değiştirilmiş bir versiyonunu sergileyen yeni bir Turla kampanyasını ortaya çıkardı. Bu özel saldırı operasyonunda Kazuar tehdidi, hedeflenen kurbanlara Pelmeni adlı daha önce belgelenmemiş bir paket aracılığıyla dağıtıldı.

Turla APT, Yıllardır Yapılan Detaylı Saldırı Operasyonlarına Rağmen Büyük Bir Siber Tehdit olmayı sürdürüyor

Turla grubu, uzun bir faaliyet geçmişine sahip, ısrarcı ve kalıcı bir rakip olarak duruyor. Kökenleri, taktikleri ve hedef seçimleri, usta operatörler tarafından yönetilen, iyi kaynaklara sahip bir operasyona işaret ediyor. Yıllar geçtikçe Turla, araçlarını ve metodolojilerini sürekli olarak geliştirerek sürekli iyileştirme taahhüdünü gösterdi.

Turla gibi grupların oluşturduğu tehdit, kuruluşların ve hükümetlerin dikkatli olma zorunluluğunun altını çiziyor. Bu, gelişmelerden haberdar olmayı, istihbarat alışverişini ve sağlam güvenlik önlemlerini uygulamayı gerektirir. Bu tür proaktif adımlar, hem grupların hem de bireylerin bu tür aktörlerin oluşturduğu tehditlere karşı savunmalarını güçlendirmelerine olanak tanır.