Bliższe spojrzenie na zaawansowanego aktora trwałego zagrożenia Turla
W dziedzinie cyberbezpieczeństwa utrzymujący się i ewoluujący krajobraz zagrożeń nieustannie stanowi wyzwanie dla obrońców na całym świecie. Wśród niezliczonej liczby przeciwników jedna grupa przyciągnęła znaczną uwagę ze względu na swoje wyrafinowanie, wytrwałość i nieuchwytną naturę: Turla, znana również jako Waterbug, Venomous Bear lub Uroboros.
Table of Contents
Pochodzenie i ewolucja
Korzenie Turli sięgają początków XXI wieku, kiedy to wyłoniła się jako grupa cyberszpiegowska, której celem były przede wszystkim rządy, instytucje wojskowe, ambasady i organizacje badawcze. Początkowo Turla skupiała się na wydobywaniu poufnych informacji w celu uzyskania przewagi strategicznej. Jednak z biegiem czasu jego taktyka, techniki i procedury (TTP) ewoluowały, wykazując niezwykłą zdolność adaptacji i odporność na środki obronne.
Wczesne operacje i taktyka
W początkowej fazie Turla polegała na podstawowych narzędziach szkodliwego oprogramowania i taktykach inżynierii społecznej, aby infiltrować sieci docelowe. Typowe wektory obejmowały wiadomości e-mail typu spear-phishing zawierające złośliwe załączniki lub łącza, wykorzystywanie luk w zabezpieczeniach oprogramowania oraz wykorzystywanie ataków watering hole w celu naruszenia bezpieczeństwa legalnych witryn internetowych odwiedzanych przez docelową grupę demograficzną.
Wczesny arsenał szkodliwego oprogramowania grupy obejmował trojany dostępu zdalnego (RAT), takie jak „Agent.BTZ” i „Turla”, umożliwiające zdalną kontrolę zaatakowanych systemów. Narzędzia te ułatwiły eksfiltrację danych, rejestrowanie naciśnięć klawiszy i działania inwigilacyjne, kładąc podwaliny pod bardziej wyrafinowane operacje w nadchodzących latach.
Dojrzewanie i zaawansowane możliwości
W miarę ewolucji zabezpieczeń cybernetycznych firma Turla dostosowywała się, wprowadzając zaawansowane techniki unikania zagrożeń i wykorzystując exploity dnia zerowego w celu utrzymania dostępu do docelowych sieci. W szczególności grupa opracowała niestandardowe narzędzia dostosowane do konkretnych celów, wykazując się wysokim poziomem wyrafinowania operacyjnego i wiedzy specjalistycznej w zakresie tworzenia szkodliwego oprogramowania.
Jedną z charakterystycznych technik Turli jest nadużywanie legalnej infrastruktury do komunikacji dowodzenia i kontroli (C2). Przejmując zaufane domeny, wykorzystując przejęte serwery lub wykorzystując usługi w chmurze, grupa maskuje swoje szkodliwe działania, utrudniając obrońcom przypisanie i wykrycie.
Arsenał złośliwego oprogramowania: bliższe spojrzenie
Najważniejszym elementem działalności Turli jest zróżnicowany i stale rozwijający się zestaw narzędzi do złośliwego oprogramowania. Na przestrzeni lat grupa wdrożyła szereg wyrafinowanych złośliwych programów, z których każde miało spełniać określone cele, a jednocześnie unikać wykrycia przez rozwiązania antywirusowe i zabezpieczenia sieci.
W rozległym repertuarze złośliwego oprogramowania wdrażanego przez grupę Turla Advanced Persistent Threat (APT) kilka godnych uwagi wariantów pozostawiło znaczący ślad w krajobrazie cyberbezpieczeństwa. Wśród nich „Kazuar”, „ComRAT” i „TinyTurla” wyróżniają się jako potężne narzędzia wykorzystywane przez Turlę w kampaniach szpiegowskich.
Kazuar: Kameleon szpiegostwa
Kazuar, trafnie nazwany na cześć jesiotra z Morza Kaspijskiego, ucieleśnia zdolność Turli do adaptacji i skradania się. To modułowe narzędzie zdalnego dostępu (RAT), zidentyfikowane po raz pierwszy w 2017 r., służy jako wszechstronne narzędzie do penetrowania i nadzorowania sieci docelowych. Siła Kazuara leży w jego modułowej konstrukcji, która pozwala operatorom Turla dostosować jego funkcjonalność do konkretnych celów misji.
Kluczowe cechy Kazuara to:
Potajemne działanie: Kazuar wykorzystuje zaawansowane techniki unikania, aby uniknąć wykrycia przez rozwiązania bezpieczeństwa, umożliwiając tajne wdrożenie w środowiskach docelowych.
Solidna komunikacja: ułatwiając płynną interakcję pomiędzy zaatakowanymi punktami końcowymi a zdalnymi operatorami, Kazuar wykorzystuje bezpieczne kanały komunikacji, takie jak HTTP i HTTPS.
Elastyczne możliwości: od zbierania naciśnięć klawiszy i przechwytywania zrzutów ekranu po gromadzenie metadanych systemowych, Kazuar oferuje szeroką gamę funkcji szpiegowskich dostosowanych do potrzeb operacyjnych Turli.
Dzięki zdolności dostosowywania się do zmieniających się środków obronnych i rozbudowanemu zestawowi funkcji Kazuar pozostaje potężnym narzędziem w arsenale Turli, stanowiącym ogromne wyzwanie dla obrońców chcących wykryć i złagodzić jego wpływ.
ComRAT: trwała platforma szpiegowska
ComRAT, znany również jako Agent.BTZ i złośliwe oprogramowanie „drugiego etapu” firmy Turla, stanowi kamień węgielny operacji cyberszpiegowskich firmy Turla. Powstały w 2007 roku ComRAT przeszedł kilka iteracji, przekształcając się w wyrafinowaną platformę szpiegowską zdolną do prowadzenia dogłębnego nadzoru i utrzymywania stałego dostępu do zaatakowanych sieci.
Kluczowe cechy ComRAT obejmują:
Zaawansowane gromadzenie danych: ComRAT specjalizuje się w zbieraniu szerokiego zakresu poufnych informacji z zaatakowanych systemów, w tym dokumentów, wiadomości e-mail i danych uwierzytelniających.
Ukryta komunikacja: Wykorzystując techniki takie jak tunelowanie DNS i steganografia, ComRAT ułatwia dyskretną eksfiltrację danych, unikając jednocześnie wykrycia przez mechanizmy monitorowania sieci.
Architektura modułowa: Podobnie jak Kazuar, ComRAT charakteryzuje się modułową konstrukcją, umożliwiając operatorom Turla dostosowanie jego funkcjonalności do konkretnych wymagań operacyjnych.
Jako pełnoprawna platforma szpiegowska ComRAT podkreśla zaangażowanie Turli w innowacje technologiczne i doskonałość operacyjną w dążeniu do swoich celów.
TinyTurla: Lekki agent szpiegowski
TinyTurla, lekki agent szpiegowski zaobserwowany po raz pierwszy w 2019 roku, stanowi odejście od tradycyjnej taktyki stosowanej przez Turlę w zakresie złośliwego oprogramowania. W przeciwieństwie do swoich poprzedników, którzy często opierali się na złożonych i wyrafinowanych możliwościach, TinyTurla przyjmuje minimalistyczne podejście, koncentrując się na dyskrecji i zwinności.
Kluczowe cechy TinyTurla obejmują:
Kompaktowa konstrukcja: Niewielkie rozmiary i minimalistyczny kod TinyTurla utrudniają wykrycie i analizę, co pozwala na potajemne wdrażanie w środowiskach docelowych.
Ukierunkowany nadzór: Pomimo swojej prostoty TinyTurla przoduje w prowadzeniu ukierunkowanego nadzoru, gromadzeniu wrażliwych informacji i ułatwianiu zdalnego dostępu do zaatakowanych systemów.
Niskie zużycie zasobów: Zaprojektowany do wydajnego działania w systemach o ograniczonych zasobach, TinyTurla minimalizuje swój wpływ na zagrożone punkty końcowe, zmniejszając prawdopodobieństwo wykrycia.
Chociaż TinyTurla jest mniej bogata w funkcje w porównaniu do Kazuar i ComRAT, lekka konstrukcja i zwinność TinyTurla sprawiają, że jest to cenny atut w kampaniach szpiegowskich Turla, jeszcze bardziej podkreślając zdolności adaptacyjne i innowacyjność grupy w obliczu ewoluujących zabezpieczeń cybernetycznych.
TinyTurla-NG, czyli Next Generation, została wykorzystana w kampanii ataków wymierzonej w polskie organizacje pozarządowe pod koniec 2023 roku. Według raportu Cisco Talos TinyTurla-NG działa jak mały backdoor „ostatniej szansy”, zaprojektowany do użycia, gdy zawiodą inne narzędzia nieautoryzowanego dostępu lub zostały wykryte w zainfekowanych systemach.
Pelmeni Wrapper to kolejne narzędzie w złośliwym arsenale Turli, wykazujące następujące możliwości:
- Rejestrowanie operacyjne: Tworzy ukryty plik dziennika z losowymi nazwami i rozszerzeniami, aby dyskretnie monitorować aktywność kampanii.
- Dostarczanie ładunku: wykorzystuje dostosowaną do indywidualnych potrzeb metodę deszyfrowania wykorzystującą generator liczb pseudolosowych, aby umożliwić ładowanie i wykonywanie funkcji.
- Przekierowanie przepływu wykonania: Manipuluje wątkami procesów i wprowadza wstrzykiwanie kodu w celu przekierowania wykonania do odszyfrowanego zestawu .NET, w którym znajdują się centralne komponenty złośliwego oprogramowania.
Patrząc w przyszłość, przeciwdziałanie zagrożeniu ze strony Turla wymaga wieloaspektowego podejścia obejmującego wymianę informacji o zagrożeniach, proaktywne strategie obrony sieci oraz współpracę między podmiotami sektora publicznego i prywatnego. Rozumiejąc taktykę grupy, wykorzystując najnowocześniejsze technologie bezpieczeństwa i rozwijając kulturę świadomości cyberbezpieczeństwa, organizacje mogą lepiej bronić się przed stale ewoluującym zagrożeniem stwarzanym przez Turla i podobne zaawansowane, trwałe podmioty zagrażające.