Turla Arka Kapı
Turla APT (Gelişmiş Kalıcı Tehdit), on yıldan fazla bir süredir faaliyet gösteren rezil bir Rus bilgisayar korsanlığı grubudur. Ayrıca Uroburos APT veya Snake APT olarak da adlandırılırlar. Üst düzey kurbanlar için bir zevke sahip oldukları biliniyor. Turla APT'nin Almanya Federal Kamu Yönetimi Koleji'ne sızdığı ve daha sonra onun aracılığıyla ülkenin Federal Dışişleri Bakanlığı'nı tehlikeye atmayı başardığı bildirildi. Ayrıca, bu tek seferlik bir penetrasyon değildi; Turla APT'nin 2017 yılının neredeyse tamamında Alman makamlarının radarına girdiği ortaya çıktı. Bu süre zarfında hacker grubu devlet verilerini sifonlayarak ve toplayarak ilerliyordu. Bu etkileyici operasyon, Turla Backdoor adlı bir APT aracıyla gerçekleştirildi.
Üç Avrupa ülkesi, bu Rus bilgisayar korsanlığı grubunun saldırılarını bildirdi. Hedefler bir kez daha dış ofisleriydi. Turla APT'nin ana hedefleri her zaman diplomatlar, askeri ve devlet yetkilileri ve politikacılar olduğu için yoğun bir şekilde casusluğa karıştığını varsaymak güvenlidir. Turla APT'nin Rus hükümetiyle bağlantılı olabileceğinden şüpheleniliyor, ancak bu bilgi henüz doğrulanmadı.
Turla APT'nin arka kapısının 2009'da ortaya çıktığına inanılıyor. Ancak, bilgisayar korsanlığı grubu yıllardır boş durmadı ve tehdidin bir e-postaya eklenmiş bir PDF dosyası aracılığıyla komut alma yeteneği gibi arka kapılarında birçok iyileştirme yaptı. , 2016'da tanıtılmıştı. 2018'de Turla APT'nin arka kapısına yeni bir özellik eklendi - bu özellik, virüslü ana bilgisayar üzerinde PowerShell komutlarını yürütme yeteneği ile yükseltildi.
Bu arka kapının en son sürümü, Microsoft Outlook'a sızma yeteneği ile donatılmıştır. İlginçtir ki, Turla APT uygulamada bir güvenlik açığı kullanmaz, bunun yerine Microsoft Outlook'un meşru MAPI'sini (Mesajlaşma Uygulaması Programlama Arayüzü) manipüle eder ve bu sayede hedeflenen hedeflerin doğrudan mesajlarına erişim sağlar. Genellikle faillerin Komuta ve Kontrol sunucusu aracılığıyla komut alan çoğu arka kapıdan farklı olarak, Turla Arka Kapı, Turla APT'nin 2016'da sunduğu iyileştirme sayesinde özel hazırlanmış e-postalar aracılığıyla kontrol edilir. Turla Arka Kapı, aralarında birçok komutu gerçekleştirebilir. veri toplayan ve çeşitli dosyaları indiren ve yürüten. Bu arka kapı, yerleştirildiği yere gelince çok seçici değil – Turla Arka Kapı, DLL modülü (Dinamik Bağlantı Kitaplığı) biçimindedir ve sabit diskin herhangi bir yerinden çalışabilir. Ayrıca Turla APT, arka kapısını hedeflenen sisteme kurmak için bir Windows yardımcı programı (RegSvr32.exe) kullanır.
Tabii ki, bu kalibrenin her yüksek verimli tehdidi gibi, Turla Backdoor da büyük bir ısrarla donatılmıştır. Tespit edilme olasılığını en aza indirmek için Turla Backdoor her zaman 'görevlerini' yerine getirmeyecektir. Bunun yerine, Bileşen Nesne Modeli (COM) ile ilgili iyi bilinen bir Windows güvenlik açığı kullanır. Bu güvenlik açığından yararlanarak, arka kapı, örneklerini meşru 'outlook.exe' işlemine enjekte edebilir, böylece bir DLL kullanma ihtiyacını ortadan kaldırır. enjeksiyon – anti-virüs ürünlerinin kolaylıkla algıladığı bir saldırı vektörü.
Turla Backdoor, Microsoft Outlook'a sızarak kurbanlarının mesajlaşma faaliyetleriyle ilgili meta verileri toplayabilir – e-posta konusu, ekin adı, gönderenler ve alıcılar. Bu veriler Turla Backdoor tarafından toplanır ve saklanır ve periyodik olarak saldırganın sunucularına aktarılır. Turla Backdoor gibi bir tehdit, özellikle saldırganlar hassas verileri veya iletişimi depolamak için kullanılan bir sisteme bulaşmayı başarırsa ve Turla APT'nin tam olarak bu kullanıcıları hedeflediği açıksa, çok fazla hasara neden olabilir.
Veri hırsızlığının yanı sıra, kötü amaçlı yazılıma ek dosyalar indirmesi veya bozuk PowerShell komut dosyalarını yürütmesi için komut verilebilir. Sonuç olarak, Turla Backdoor, işlevselliğinde bir rootkit'e yakın bir tehdittir.
