Turla APT

Turla, також відомий як Pensive Ursa, Uroburos і Snake, представляє складну Advanced Persistent Threat (APT), що походить з Росії, історія якої сягає принаймні 2004 року та ймовірно пов’язана з Федеральною службою безпеки Росії (ФСБ). Турла, відома своїми цілеспрямованими вторгненнями та передовою тактикою скритності, заслужила репутацію грізного й невловимого супротивника, демонструючи виняткову технічну майстерність у організації таємних і непомітних кібератак.

Протягом багатьох років Turla розширила свою діяльність у більш ніж 45 країнах, проникнувши в різноманітні сектори, такі як державні установи, дипломатичні місії, військові установи, а також освітні, дослідницькі та фармацевтичні установи. Крім того, група була причетна до діяльності, пов’язаної з російсько-українським конфліктом, який спалахнув у лютому 2022 року, згідно з повідомленнями CERT України, що вказує на шпигунські операції, спрямовані проти українських оборонних інтересів.

Незважаючи на те, що Turla переважно зосереджувала свої шпигунські зусилля на системах на базі Windows, вона продемонструвала можливості для націлювання на платформи macOS і Linux. Завдяки невпинному розвитку Turla накопичила величезний арсенал шкідливих програм, включаючи Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon і HyperStack і TinyTurla , які активно використовувалися в різних загрозливих кампаніях. .

Turla починає націлюватися на системи Linux

До 2014 року Turla вже кілька років працювала в кібернетичному просторі, але спосіб її зараження залишався загадкою. Дослідження, проведене в тому ж році, пролило світло на складну багатоетапну атаку під назвою Epic Turla, розкривши використання Turla сімейства шкідливих програм Epic. У цій кампанії використовувалися вразливості CVE-2013-5065 і CVE-2013-3346, використовуючи фішингові електронні листи, озброєні експлойтами Adobe PDF, поряд із методами «заливки» з використанням експлойтів Java (CVE-2012-1723).

Примітним аспектом цієї кампанії було розгортання Turla передових бекдорів, таких як Carbon/Cobra, час від часу використовуючи обидва як механізм відновлення після відмови.

Попередні операції Turla переважно були націлені на системи Windows, але в серпні 2014 року ландшафт змінився, коли Turla вперше вийшла на територію Linux. Ця ініціатива, відома як Penguin Turla, передбачала використання модуля Linux Turla, що містить виконуваний файл C/C++, статично зв’язаний із кількома бібліотеками, значно збільшуючи розмір файлу для цієї конкретної операції.

Turla представляє нові загрози зловмисного програмного забезпечення у своїх атаках

У 2016 році група, відома як Waterbug, яка нібито фінансується державою, використовувала варіанти Trojan.Turla та Trojan.Wipbot для використання вразливості нульового дня, зокрема для локальної ескалації привілеїв ядра Windows NDProxy.sys (CVE-2013). -5065). Згідно з результатами дослідження, зловмисники використовували ретельно створені електронні листи з небезпечними вкладеннями разом із мережею скомпрометованих веб-сайтів для доставки своїх мерзенних корисних навантажень.

Наступного року дослідники виявили передову ітерацію зловмисного програмного забезпечення Turla — бекдор другого ступеня, ідентифікований як Carbon. Ініціація атаки Carbon зазвичай включає в себе жертву або отримання фішингового електронного листа, або натраплення на скомпрометований веб-сайт, у просторіччі відомий як водопою.

Згодом встановлюється бекдор першого ступеня типу Tavdig або Skipper . Після завершення розвідувальних дій структура Carbon організовує встановлення свого другого етапу бекдору на критично важливих системах. Цей фреймворк містить дроппер, відповідальний за встановлення файлу конфігурації, комунікаційний компонент для взаємодії з сервером командування та контролю (C&C), оркестровник для керування завданнями та бічним переміщенням у мережі, а також завантажувач для виконання оркеструвальника.

На сцену виходить бекдор Казуара Турли

У травні 2017 року дослідники кібербезпеки пов’язали нещодавно виявлений бекдор-троян Kazuar із групою Turla. Розроблений з використанням Microsoft .NET Framework, Kazuar може похвалитися високофункціональними наборами команд, здатними віддалено завантажувати додаткові плагіни.

Kazuar збирає інформацію про системні та шкідливі файли, встановлює м’ютекс для забезпечення окремого виконання та додає файл LNK до папки запуску Windows.

Набори команд у Kazuar схожі на ті, які є в інших бекдор-троянах. Наприклад, команда tasklist використовує запит Windows Management Instrumentation (WMI) для отримання запущених процесів із Windows, тоді як команда info збирає дані про відкриті вікна. Крім того, команда Kazuar cmd виконує команди за допомогою cmd.exe для систем Windows і /bin/bash для систем Unix, що вказує на те, що вона створена як кросплатформне шкідливе програмне забезпечення, націлене як на середовища Windows, так і на Unix.

Подальші дослідження на початку 2021 року виявили помітні паралелі між бекдорами Sunburst і Kazuar.

У 2017 році відбуваються інші атаки на Turla

Turla представила свіжий бекдор другого етапу під назвою Gazer, закодований на C++, який використовує атаки з підсвічуванням і фішингові кампанії для точного націлювання на жертв.

На додаток до розширених можливостей скритності, Gazer продемонстрував численні схожості з раніше використовуваними бекдорами другого ступеня, такими як Carbon і Kazuar. Примітною особливістю цієї кампанії була інтеграція речень, пов’язаних із відеоіграми, у код. Turla захистила сервер командування та управління (C&C) Gazer, зашифрувавши його за допомогою своєї власної бібліотеки для шифрування 3DES і RSA.

Turla об’єднує загрози та інфраструктуру від інших кіберзлочинних груп

У 2018 році звіт розвідки вказав, що Turla використовувала нещодавно розроблені шкідливі інструменти Neuron і Nautilus разом із Snake Rootkit для націлювання на комп’ютери Windows, з особливим акцентом на пошті та веб-серверах. Turla використовувала скомпрометовані жертви Snake для сканування оболонок ASPX, передаючи команди через зашифровані значення cookie HTTP. Turla використовувала оболонки ASPX для встановлення початкового доступу до цільових систем для розгортання додаткових інструментів.

У 2018 році Turla знову націлилася на закордонні офіси європейських урядів, намагаючись проникнути вкрай конфіденційну інформацію через бекдор. Ця кампанія була спрямована на Microsoft Outlook і The Bat!, широко використовуваний поштовий клієнт у Східній Європі, перенаправляючи всі вихідні електронні листи зловмисникам. Бекдор використовував повідомлення електронної пошти для отримання даних, використовуючи спеціально створені PDF-документи та використовуючи повідомлення електронної пошти як канал для свого сервера командування та контролю (C&C).

У 2019 році оператори Turla використовували інфраструктуру OilRig, групи APT, пов’язаної з Іраном, яка відома своїми нападами на державні установи та організації на Близькому Сході, для проведення власних атак. Ця кампанія передбачала розгортання сильно модифікованого спеціального варіанту інструменту Mimikatz поряд із новим набором інструментів із кількома новими бекдорами. На пізніших етапах кампанії група Turla використовувала окремий бекдор Remote Procedure Call (RPC), який містив код із загальнодоступного інструменту PowerShell Runner для виконання сценаріїв PowerShell без використання powershell.exe.

Нові бекдор-загрози, випущені протягом 2020 року

У березні 2020 року аналітики безпеки спостерігали, як Turla використовує атаки watering hole для атаки на численні вірменські веб-сайти. На ці веб-сайти було введено пошкоджений код JavaScript, хоча точні методи доступу, використані в атаках, залишаються нерозкритими.

Згодом скомпрометовані веб-сторінки розповсюдили скомпрометований код JavaScript другого етапу, щоб ідентифікувати браузери-жертви та спонукати їх встановити поганий інсталятор Flash. Тоді Turla використала NetFlash , засіб завантаження .NET, і PyFlash для вторинного розгортання зловмисного програмного забезпечення.

Кілька місяців потому Turla використовував ComRAT v4 , псевдонім Agent.BTZ, як троян віддаленого доступу (RAT). Це зловмисне програмне забезпечення, створене за допомогою C++, має віртуальну файлову систему FAT16, яка часто використовується для викрадання конфіденційних документів. Він поширюється через усталені маршрути доступу, такі як бекдор PowerStallion PowerShell, використовуючи HTTP та електронну пошту як канали командування та керування (C&C).

Ближче до кінця 2020 року експерти з кібербезпеки натрапили на незадокументований бекдор і екстрактор документів під назвою Crutch , який приписують групі Turla. Попередні версії Crutch включали бекдор, який спілкувався з попередньо визначеним обліковим записом Dropbox через офіційний HTTP API.

Цей бекдор мав можливість виконувати команди, пов’язані з маніпулюванням файлами, виконанням процесів і встановленням стійкості через викрадення DLL у Google Chrome, Mozilla Firefox або Microsoft OneDrive. Примітно, що Crutch v4 може похвалитися автоматизованою функцією завантаження файлів локального та знімного диска в сховище Dropbox, що полегшується версією утиліти Wget для Windows, на відміну від попередніх ітерацій, які залежать від бекдор-команд.

Turla APT Group випускає зловмисне програмне забезпечення TinyTurla та починає націлюватися на активи в Україні

Поява бекдору TinyTurla привернула увагу у 2021 році. Ймовірно, ця загроза слугує як план на випадок непередбачених обставин, що забезпечує постійний доступ до систем навіть у разі первинного видалення зловмисного програмного забезпечення. Встановлення цього бекдору полегшується за допомогою пакетного файлу та проявляється як службова DLL під назвою w64time.dll, спрямована на імітацію законного файлу w32time.dll на платформах Windows.

Під час російського вторгнення в Україну Turla APT переорієнтувала свою увагу на цілі, які відповідають інтересам Росії в конфлікті. Оголошення Групи реагування на надзвичайні ситуації в області комп’ютерних ситуацій України (CERT-UA) у липні 2023 року виявило використання Turla зловмисного програмного забезпечення Capibar і бекдора Kazuar для шпигунської діяльності проти українських оборонних сил. У цій операції Капібар був задіяний для збору розвідданих, тоді як Казуар спеціалізувався на крадіжці облікових даних. Атака переважно була спрямована на дипломатичні та військові установи через фішингові кампанії.

Поява TinyTurla-NG і Pelmeni Wrapper

Наприкінці 2023 року було помічено, що зловмисник Turla використовує новий бекдор під назвою TinyTurla-NG у кампанії, яка тривала три місяці. Операція нападу була націлена саме на неурядові організації в Польщі. Подібно до свого попередника, TinyTurla-NG функціонує як компактний бекдор «останньої можливості». Його стратегічно розгортають, щоб залишатися в бездіяльності, доки всі інші механізми несанкціонованого доступу або бекдорів у скомпрометованих системах не вийдуть з ладу або не будуть виявлені.

У лютому 2024 року аналітики з кібербезпеки відкрили нову кампанію Turla, яка демонструє інноваційні стратегії та модифікований варіант трояна Kazuar. У цій конкретній операції нападу загроза Kazuar була розповсюджена цільовим жертвам через раніше незадокументовану обгортку під назвою Pelmeni .

Turla APT залишається серйозною кіберзагрозою, незважаючи на роки детальної атаки

Група Turla виступає як наполегливий і стійкий супротивник, який може похвалитися тривалим досвідом діяльності. Їхнє походження, тактика та вибір цілей свідчать про добре забезпечену операцію під керівництвом досвідчених оперативників. Протягом багатьох років Turla постійно вдосконалювала свої інструменти та методології, що свідчить про прагнення до постійного вдосконалення.

Загроза, створена такими групами, як Turla, підкреслює необхідність для організацій та урядів зберігати пильність. Це передбачає бути в курсі подій, обмінюватись розвідданими та впроваджувати надійні заходи безпеки. Такі проактивні кроки дозволяють як групам, так і окремим особам зміцнити свій захист від загроз, створених такими акторами.