Turla APT

Turla, auch bekannt als Pensive Ursa, Uroburos und Snake, stellt eine hochentwickelte Advanced Persistent Threat (APT) mit Ursprung in Russland dar, deren Geschichte mindestens bis ins Jahr 2004 zurückreicht und angebliche Verbindungen zum russischen Föderalen Sicherheitsdienst (FSB) hat. Turla ist bekannt für seine gezielten Angriffe und modernsten Stealth-Taktiken und hat sich den Ruf eines beeindruckenden und schwer fassbaren Gegners erworben, der außergewöhnliche technische Fähigkeiten bei der Orchestrierung verdeckter und heimlicher Cyber-Angriffe unter Beweis stellt.

Im Laufe der Jahre hat Turla seine Reichweite auf mehr als 45 Länder ausgeweitet und eine Vielzahl von Sektoren wie Regierungsbehörden, diplomatische Vertretungen, militärische Einrichtungen sowie Bildungs-, Forschungs- und Pharmaeinrichtungen infiltriert. Darüber hinaus war die Gruppe in Aktivitäten im Zusammenhang mit dem russisch-ukrainischen Konflikt verwickelt, der im Februar 2022 ausbrach, wie aus Berichten des ukrainischen CERT hervorgeht, was auf Spionageoperationen gegen ukrainische Verteidigungsinteressen hindeutet.

Obwohl sich Turla bei seinen Spionagebemühungen vor allem auf Windows-basierte Systeme konzentrierte, hat das Unternehmen bewiesen, dass es in der Lage ist, auf macOS- und Linux-Plattformen abzuzielen. Durch unermüdliche Entwicklung hat Turla ein beeindruckendes Arsenal an Malware-Tools angehäuft, darunter unter anderem Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon und HyperStack sowie TinyTurla , die aktiv in verschiedenen Bedrohungskampagnen eingesetzt wurden .

Turla beginnt mit der Ausrichtung auf Linux-Systeme

Im Jahr 2014 war Turla bereits seit mehreren Jahren in der Cyberlandschaft tätig, doch die Methode der Infektion blieb ein Rätsel. Im selben Jahr durchgeführte Untersuchungen brachten Licht auf einen raffinierten mehrstufigen Angriff namens Epic Turla und enthüllten Turlas Nutzung der Epic-Malware-Familie. Diese Kampagne nutzte die Schwachstellen CVE-2013-5065 und CVE-2013-3346 aus und nutzte Spear-Phishing-E-Mails mit Adobe PDF-Exploits sowie Watering-Hole-Techniken mit Java-Exploits (CVE-2012-1723).

Ein bemerkenswerter Aspekt dieser Kampagne war Turlas Einsatz fortschrittlicher Hintertüren wie Carbon/Cobra, wobei gelegentlich beide als Failover-Mechanismus genutzt wurden.

Frühere Aktivitäten von Turla waren hauptsächlich auf Windows-Systeme ausgerichtet, doch im August 2014 veränderte sich die Landschaft, als Turla zum ersten Mal in das Linux-Gebiet vordrang. Bei dieser als Penguin Turla bekannten Initiative verwendete die Gruppe ein Linux-Turla-Modul mit einer ausführbaren C/C++-Datei, die statisch mit mehreren Bibliotheken verknüpft war, wodurch sich die Dateigröße für diesen speziellen Vorgang erheblich erhöhte.

Turla führt bei seinen Angriffsoperationen neue Malware-Bedrohungen ein

Im Jahr 2016 nutzte eine Gruppe namens Waterbug, angeblich eine staatlich geförderte Organisation, Varianten von Trojan.Turla und Trojan.Wipbot , um eine Zero-Day-Schwachstelle auszunutzen, insbesondere gegen die Windows-Kernel-NDProxy.sys-Schwachstelle zur lokalen Rechteausweitung (CVE-2013). -5065). Forschungsergebnissen zufolge nutzten die Angreifer sorgfältig erstellte E-Mails mit unsicheren Anhängen sowie ein Netzwerk kompromittierter Websites, um ihre schändlichen Nutzlasten zu übermitteln.

Im darauffolgenden Jahr entdeckten Forscher eine fortgeschrittene Version der Turla-Malware – eine Hintertür der zweiten Stufe, die als Carbon identifiziert wurde. Bei der Einleitung eines Carbon-Angriffs erhält das Opfer in der Regel entweder eine Spear-Phishing-E-Mail oder stößt auf eine manipulierte Website, die umgangssprachlich als Watering Hole bezeichnet wird.

Anschließend wird eine Backdoor der ersten Stufe wie Tavdig oder Skipper installiert. Nach Abschluss der Aufklärungsaktivitäten orchestriert das Carbon-Framework die Installation seiner Hintertür der zweiten Stufe auf kritischen Systemen. Dieses Framework umfasst einen Dropper, der für die Installation seiner Konfigurationsdatei verantwortlich ist, eine Kommunikationskomponente für die Interaktion mit dem Command and Control (C&C)-Server, einen Orchestrator für die Verwaltung von Aufgaben und seitlichen Bewegungen innerhalb des Netzwerks sowie einen Loader für die Ausführung des Orchestrators.

Turlas Kazuar-Hintertür betritt die Bühne

Im Mai 2017 brachten Cybersicherheitsforscher einen neu entdeckten Backdoor-Trojaner namens Kazuar mit der Turla-Gruppe in Verbindung. Kazuar wurde mit dem Microsoft .NET Framework entwickelt und verfügt über hochfunktionale Befehlssätze, mit denen zusätzliche Plug-Ins aus der Ferne geladen werden können.

Kazuar sammelt System- und Malware-Dateinameninformationen, richtet einen Mutex ein, um eine einmalige Ausführung sicherzustellen, und fügt dem Windows-Startordner eine LNK-Datei hinzu.

Die Befehlssätze in Kazuar weisen Ähnlichkeiten mit denen anderer Backdoor-Trojaner auf. Beispielsweise nutzt der Befehl „tasklist“ eine WMI-Abfrage (Windows Management Instrumentation), um laufende Prozesse von Windows abzurufen, während der Befehl „info“ Daten zu geöffneten Fenstern sammelt. Darüber hinaus führt der Befehl cmd von Kazuar Befehle mit cmd.exe für Windows-Systeme und /bin/bash für Unix-Systeme aus, was darauf hindeutet, dass es sich um eine plattformübergreifende Malware handelt, die sowohl auf Windows- als auch auf Unix-Umgebungen abzielt.

Weitere Untersuchungen Anfang 2021 enthüllten bemerkenswerte Parallelen zwischen den Sunburst- und Kazuar-Hintertüren.

Im Jahr 2017 finden weitere Turla-Angriffskampagnen statt

Turla führte eine neue Hintertür der zweiten Stufe namens Gazer ein, die in C++ codiert ist und Watering-Hole-Angriffe und Spear-Phishing-Kampagnen nutzt, um Opfer gezielt anzusprechen.

Zusätzlich zu seinen verbesserten Stealth-Fähigkeiten wies Gazer zahlreiche Ähnlichkeiten mit zuvor eingesetzten Hintertüren der zweiten Stufe wie Carbon und Kazuar auf. Ein bemerkenswertes Merkmal dieser Kampagne war die Integration von „Videospiel-bezogenen“ Sätzen in den Code. Turla sicherte den Command and Control (C&C)-Server von Gazer, indem es ihn mit seiner proprietären Bibliothek für 3DES- und RSA-Verschlüsselung verschlüsselte.

Turla integriert Bedrohungen und Infrastruktur von anderen Cybercrime-Gruppen

Im Jahr 2018 deutete ein Geheimdienstbericht darauf hin, dass Turla neben dem Snake Rootkit neu entwickelte schädliche Tools, Neuron und Nautilus , einsetzte, um Windows-Rechner anzugreifen, mit besonderem Schwerpunkt auf Mail- und Webservern. Turla nutzte kompromittierte Snake-Opfer, um nach ASPX-Shells zu suchen und Befehle über verschlüsselte HTTP-Cookie-Werte zu übertragen. Turla nutzte ASPX-Shells, um den ersten Zugriff auf Zielsysteme für die Bereitstellung zusätzlicher Tools einzurichten.

Auch im Jahr 2018 hatte Turla die Auslandsbüros europäischer Regierungen im Visier, mit dem Ziel, hochsensible Informationen durch eine Hintertür einzuschleusen. Diese Kampagne zielte auf Microsoft Outlook und The Bat! ab, einen in Osteuropa weit verbreiteten E-Mail-Client, der alle ausgehenden E-Mails an die Angreifer umleitete. Die Hintertür nutzte E-Mail-Nachrichten zum Extrahieren von Daten, nutzte speziell gestaltete PDF-Dokumente und nutzte E-Mail-Nachrichten als Kanal für ihren Command and Control (C&C)-Server.

Im Jahr 2019 nutzten Turla-Betreiber die Infrastruktur von OilRig aus, einer mit dem Iran verbundenen APT-Gruppe, die dafür bekannt ist, Regierungsstellen und -organisationen im Nahen Osten ins Visier zu nehmen, um ihre eigenen Angriffsoperationen durchzuführen. Diese Kampagne umfasste den Einsatz einer stark modifizierten, benutzerdefinierten Variante des Mimikatz- Tools sowie einer neuen Reihe von Tools mit mehreren neuen Hintertüren. In den späteren Phasen der Kampagne nutzte die Turla-Gruppe eine spezielle RPC-Hintertür (Remote Procedure Call), die Code aus dem öffentlich zugänglichen PowerShell Runner-Tool einbezog, um PowerShell-Skripte auszuführen, ohne auf powershell.exe angewiesen zu sein.

Im Laufe des Jahres 2020 wurden neue Backdoor-Bedrohungen veröffentlicht

Im März 2020 beobachteten Sicherheitsanalysten, dass Turla Watering-Hole-Angriffe einsetzte, um zahlreiche armenische Websites anzugreifen. Auf diese Websites wurde beschädigter JavaScript-Code eingeschleust, die genauen Zugriffsmethoden, die bei den Angriffen zum Einsatz kamen, bleiben jedoch geheim.

Anschließend verteilten die kompromittierten Webseiten kompromittierten JavaScript-Code der zweiten Stufe, um die Browser der Opfer zu identifizieren und sie zur Installation eines fehlerhaften Flash-Installationsprogramms zu überreden. Turla nutzte dann NetFlash , einen .NET-Downloader, und PyFlash für die Bereitstellung sekundärer Malware.

Einige Monate später setzte Turla ComRAT v4 , alias Agent.BTZ, als Remote Access Trojan (RAT) ein. Diese mit C++ erstellte Malware verfügt über ein virtuelles FAT16-Dateisystem, das häufig zum Herausfiltern vertraulicher Dokumente verwendet wird. Die Verbreitung erfolgt über etablierte Zugriffswege wie die PowerStallion PowerShell-Hintertür, wobei HTTP und E-Mail als Command-and-Control-Kanäle (C&C) genutzt werden.

Gegen Ende des Jahres 2020 stießen Cybersicherheitsexperten auf eine undokumentierte Hintertür und einen Dokumentenextraktor namens Crutch , der der Turla-Gruppe zugeschrieben wird. Frühere Versionen von Crutch enthielten eine Hintertür, die über die offizielle HTTP-API mit einem vordefinierten Dropbox-Konto kommunizierte.

Diese Hintertür verfügte über Funktionen zur Ausführung von Befehlen im Zusammenhang mit der Dateimanipulation, der Prozessausführung und der Herstellung von Persistenz durch DLL-Hijacking in Google Chrome, Mozilla Firefox oder Microsoft OneDrive. Insbesondere verfügt Crutch v4 über eine automatisierte Funktion zum Hochladen von lokalen und Wechseldatenträgerdateien in den Dropbox-Speicher, die durch die Windows-Version des Wget-Dienstprogramms ermöglicht wird, im Gegensatz zu früheren Iterationen, die auf Backdoor-Befehlen basieren.

Die Turla APT Group entfesselt die TinyTurla-Malware und beginnt, Vermögenswerte in der Ukraine ins Visier zu nehmen

Das Auftauchen der TinyTurla-Hintertür machte im Jahr 2021 auf sich aufmerksam. Diese Bedrohung dient wahrscheinlich als Notfallplan und ermöglicht einen dauerhaften Zugriff auf Systeme, selbst im Falle der Entfernung primärer Malware. Die Installation dieser Hintertür wird durch eine Batchdatei erleichtert und manifestiert sich als Dienst-DLL mit dem Namen w64time.dll, die darauf abzielt, die legitime Datei w32time.dll auf Windows-Plattformen nachzuahmen.

Während der russischen Invasion in der Ukraine richtete die Turla APT ihren Fokus auf Ziele, die mit den Interessen Russlands in dem Konflikt in Einklang standen. Eine Ankündigung des Computer Emergency Response Team of Ukraine (CERT-UA) vom Juli 2023 enthüllte, dass Turla die Capibar-Malware und die Kazuar-Hintertür für Spionageaktivitäten gegen ukrainische Verteidigungsanlagen nutzt. Bei dieser Operation wurde Capibar für die Informationsbeschaffung eingesetzt, während Kazuar sich auf den Diebstahl von Ausweisen spezialisierte. Der Angriff richtete sich im Rahmen von Phishing-Kampagnen vor allem gegen diplomatische und militärische Einheiten.

Die Entstehung von TinyTurla-NG und Pelmeni Wrapper

Gegen Ende des Jahres 2023 wurde beobachtet, wie der Bedrohungsakteur Turla in einer dreimonatigen Kampagne eine neue Hintertür namens TinyTurla-NG einsetzte. Die Angriffsaktion richtete sich gezielt gegen Nichtregierungsorganisationen in Polen. Ähnlich wie sein Vorgänger fungiert TinyTurla-NG als kompakte „Last-Resort“-Hintertür. Es wird strategisch eingesetzt, um inaktiv zu bleiben, bis alle anderen unbefugten Zugriffs- oder Hintertürmechanismen auf den kompromittierten Systemen entweder fehlgeschlagen sind oder entdeckt wurden.

Im Februar 2024 entdeckten Cybersicherheitsanalysten eine neue Turla-Kampagne, die innovative Strategien und eine modifizierte Variante des Kazuar-Trojaners vorstellte. Bei dieser speziellen Angriffsoperation wurde die Kazuar-Bedrohung über einen zuvor nicht dokumentierten Wrapper namens Pelmeni an die Zielopfer weitergegeben.

Der Turla APT bleibt trotz jahrelanger detaillierter Angriffsoperationen eine große Cyberbedrohung

Die Turla-Gruppe ist ein hartnäckiger und beständiger Gegner, der auf eine lange Erfolgsgeschichte an Aktivitäten zurückblicken kann. Ihre Herkunft, Taktik und Wahl der Ziele lassen auf eine gut ausgestattete Operation unter der Leitung erfahrener Agenten schließen. Im Laufe der Jahre hat Turla seine Tools und Methoden kontinuierlich verbessert, was auf die Verpflichtung zu kontinuierlicher Weiterentwicklung hinweist.

Die Bedrohung durch Gruppen wie Turla unterstreicht die Notwendigkeit für Organisationen und Regierungen, wachsam zu bleiben. Dazu gehört es, über Entwicklungen auf dem Laufenden zu bleiben, Informationen auszutauschen und robuste Sicherheitsmaßnahmen zu implementieren. Solche proaktiven Schritte ermöglichen es sowohl Gruppen als auch Einzelpersonen, ihre Abwehrkräfte gegen die von solchen Akteuren ausgehenden Bedrohungen zu stärken.