Turla APT Hacker führen die TinyTurla Backdoor ein

Wenn man über russische Hacker spricht, kommt man nicht um die Turla APT (Advanced Persistent Threat) Gruppe herum. Ihre Operationen werden seit 2014 genau beobachtet, und sie gelten als eine der größten von Russland unterstützten Hackergruppen. Ihr berüchtigtstes Implantat ist nach der Gruppe selbst benannt – die Turla Backdoor. Natürlich hat es seit seiner ersten Veröffentlichung große Veränderungen erfahren, aber die Kriminellen verlassen sich bis heute auf ihren Trojaner. Tatsächlich haben sie kürzlich eine „Mini"-Version der Bedrohung entfesselt – die TinyTurla-Hintertür. Es bewahrt einige der ursprünglichen Merkmale der Turla-Hintertür, aber es fehlen auch einige Aspekte. Die eingeschränkte Funktionalität ermöglicht es jedoch, für längere Zeit verborgen zu bleiben, ohne zu viele rote Flaggen auszulösen.

Der Mangel an Funktionalität dürfte für die Turla-Hacker kein Problem darstellen, da sie anscheinend einen Plan haben, wie die TinyTurla-Backdoor zum Einsatz kommen wird. Anstatt eigenständig vollwertige Angriffe auszuführen, ist es darauf ausgelegt, Persistenz zu erlangen und dann zusätzliche Nutzlasten bereitzustellen. Dies würde erklären, warum sich die Kriminellen dafür entschieden haben, einige ihrer Merkmale zu entfernen und sich stattdessen auf Ausweichmanöver zu konzentrieren.

Die Ziele, an denen die Hacker von Turla APT interessiert sind, scheinen ihren Sitz in Deutschland und den USA zu haben. Natürlich wird es wahrscheinlich nicht lange dauern, bis sie den Umfang dieser Operation erweitern und die TinyTurla-Backdoor in weiteren Ländern einsetzen.

Neben dem Ausleihen des Codes der Turla-Backdoor nutzt das TinyTurla-Implantat auch die gleiche Netzwerkkonfiguration und die gleichen Server, was die Verbindung zwischen den berüchtigten Hackern und diesem Mini-Backdoor-Trojaner weiter zementiert.

Was sind die Fähigkeiten von TinyTurla Backdoor?

Es fehlen zwar einige bemerkenswerte Funktionen, aber es hat immer noch viel Feuerkraft, um Schaden anzurichten. Die Kriminellen können das Implantat durch eine Reihe vordefinierter Befehle aus der Ferne steuern. Dank ihnen können sie das Dateisystem verwalten, Prozesse steuern und sogar die Netzwerkkonfiguration ändern. Ein interessantes Merkmal der TinyTurla Backdoor ist, dass die Kriminellen sich selbst authentifizieren müssen. Dies soll wahrscheinlich das Implantat vor anderen Kriminellen oder neugierigen Malware-Analysten schützen. Bisher ist die Aktivität der TinyTurla Backdoor relativ gering. Wir müssen jedoch noch sehen, wie sich diese Kampagne der Turla APT-Hacker entwickeln wird.