Turla Hintertür

Die Turla APT (Advanced Persistent Threat) ist eine berüchtigte russische Hackergruppe, die seit über einem Jahrzehnt tätig ist. Sie werden auch Uroburos APT oder Snake APT genannt. Sie sind dafür bekannt, eine Vorliebe für High-End-Opfer zu haben. Es wurde berichtet, dass die Turla APT die Bundeshochschule für öffentliche Verwaltung in Deutschland infiltriert und es dann geschafft hatte, das Auswärtige Amt des Landes zu kompromittieren. Darüber hinaus war dies keine einmalige Penetration; Es wurde bekannt, dass die Turla APT fast das ganze Jahr 2017 unter dem Radar der deutschen Behörden gelandet ist. Während dieser Zeit saugte die Hackergruppe Regierungsdaten ab und sammelte sie. Diese beeindruckende Operation wurde mit einem APT-Tool namens Turla Backdoor durchgeführt.

Drei europäische Länder haben Angriffe dieser russischen Hackergruppe gemeldet. Die Ziele waren wieder ihre Auslandsvertretungen. Es ist davon auszugehen, dass die Turla APT stark in Spionage verwickelt ist, da ihre Hauptziele seit jeher Diplomaten, Militär- und Staatsbehörden sowie Politiker waren. Es wird vermutet, dass die Turla APT mit der russischen Regierung in Verbindung steht, aber diese Informationen müssen noch bestätigt werden.

Die Hintertür des Turla APT stammt vermutlich aus dem Jahr 2009. Die Hackergruppe war jedoch im Laufe der Jahre nicht untätig und hat viele Verbesserungen an ihrer Hintertür vorgenommen, wie z. B. die Fähigkeit der Bedrohung, Befehle über eine an eine E-Mail angehängte PDF-Datei zu empfangen , die bereits 2016 eingeführt wurde. Im Jahr 2018 wurde der Hintertür des Turla APT eine neue Funktion hinzugefügt – sie wurde um die Fähigkeit erweitert, PowerShell-Befehle auf dem infizierten Host auszuführen.

Diese neueste Version dieser Hintertür ist mit der Fähigkeit ausgestattet, Microsoft Outlook zu infiltrieren. Interessanterweise nutzt die Turla APT keine Schwachstelle in der Anwendung aus, sondern manipuliert stattdessen die legitime MAPI (Messaging Application Programming Interface) von Microsoft Outlook und erhält dadurch Zugriff auf die Direktnachrichten ihrer beabsichtigten Ziele. Im Gegensatz zu den meisten Backdoors, die normalerweise Befehle über einen Command and Control-Server der Täter erhalten, wird die Turla Backdoor dank der 2016 eingeführten Verbesserung der Turla APT über speziell gestaltete E-Mails gesteuert. Die Turla Backdoor kann viele Befehle ausführen, unter anderem die Daten sammeln und verschiedene Dateien herunterladen und ausführen. Diese Hintertür ist nicht zu wählerisch, wenn es darum geht, wo sie platziert wird – die Turla-Hintertür hat die Form eines DLL-Moduls (Dynamic Link Library) und kann von überall auf der Festplatte ausgeführt werden. Darüber hinaus verwendet Turla APT ein Windows-Dienstprogramm (RegSvr32.exe), um seine Hintertür auf dem Zielsystem zu installieren.

Wie jede hocheffiziente Bedrohung dieses Kalibers ist natürlich auch die Turla Backdoor mit großer Ausdauer ausgestattet. Um die Wahrscheinlichkeit, entdeckt zu werden, zu minimieren, wird die Turla Backdoor ihre "Pflichten" nicht die ganze Zeit erfüllen. Stattdessen nutzt es eine bekannte Windows-Sicherheitslücke in Bezug auf das Component Object Model (COM). Durch die Ausnutzung dieser Sicherheitsanfälligkeit kann die Hintertür ihre Instanzen in den legitimen 'outlook.exe'-Prozess einschleusen, wodurch die Verwendung einer DLL überflüssig wird Injektion – ein Angriffsvektor, den Antivirenprodukte problemlos erkennen.

Durch die Infiltration von Microsoft Outlook ist die Turla Backdoor in der Lage, die Metadaten der Messaging-Aktivitäten ihres Opfers zu sammeln – E-Mail-Betreff, Name des Anhangs, Absender und Empfänger. Diese Daten werden von der Turla Backdoor gesammelt und gespeichert und regelmäßig an die Server des Angreifers übertragen. Eine Bedrohung wie die Turla Backdoor könnte großen Schaden anrichten, insbesondere wenn es den Angreifern gelingt, ein System zu infizieren, in dem sensible Daten oder Kommunikation gespeichert werden und offensichtlich ist, dass die Turla APT genau diese Benutzer anvisiert.

Abgesehen von Datendiebstahl kann die Malware angewiesen werden, zusätzliche Dateien herunterzuladen oder beschädigte PowerShell-Skripte auszuführen. Zusammenfassend lässt sich sagen, dass die Turla Backdoor eine Bedrohung ist, die in ihrer Funktionalität einem Rootkit nahe kommt.