TinyTurla Backdoor, eine staatlich geförderte Turla APT Malware, trifft Deutschland und die USA

Die Turla Advanced Persistent Threat (APT)-Gruppe ist nach wie vor einer der berüchtigtsten, staatlich geförderten russischen Hacker. Sie sind seit fast einem Jahrzehnt in der Hacking-Szene aktiv und entwickeln ihre Ansätze und ihr Arsenal ständig weiter. Eine der neuesten Ergänzungen der von ihnen verwendeten Hacking-Tools ist eine Überarbeitung der Turla-Hintertür. Bei der neuen Bedrohung wurden jedoch einige ihrer Funktionen abgeschnitten – daher heißt sie TinyTurla Backdoor. Trotz der leicht eingeschränkten Funktionalität ist es immer noch eine sehr gefährliche Bedrohung, die den Hackern langfristig Zugriff auf das infiltrierte System verschaffen könnte.

Es scheint, dass sich die aktuelle TinyTurla Backdoor-Kampagne darauf konzentriert, Persistenz auf der gehackten Maschine zu erlangen und dann das Implantat zu verwenden, um eine sekundäre Nutzlast zu liefern. Der vereinfachte Codierungsstil und die eingeschränkte Funktionalität der TinyTurla Backdoor haben es ermöglicht, eine Weile unter dem Radar zu bleiben und einige Sicherheitsmaßnahmen zu umgehen. Sie können jedoch sicher sein, dass Antivirensoftware es heutzutage mit Leichtigkeit abfängt.

Derzeit wurden in Deutschland und den USA aktive Instanzen der TinyTurla Backdoor identifiziert. Es ist jedoch sehr wahrscheinlich, dass die Turla-Hacker auch andere Regionen verfolgt haben. Ähnlichkeiten zwischen dem Code dieser Hintertür und anderen Turla-Implantaten sind nicht der einzige Grund zu der Annahme, dass die Gruppe hinter diesem Projekt steckt – sie verwenden auch die gleiche Netzwerkinfrastruktur.

Was macht TinyTurla Backdoor?

Die Funktionen der TinyTurla Backdoor sind zwar begrenzt, können aber dennoch viele Probleme bereiten. Einige der Befehle, die dieses Implantat ausführen kann, sind:

• Authentifizieren Sie den Benutzer, der versucht, auf das Implantat zuzugreifen – wahrscheinlich, um zu verhindern, dass Analytiker versuchen, das Implantat zu kontrollieren und zu analysieren.
• Führen Sie Remotebefehle/-dateien aus und protokollieren Sie dann die Ausgabe auf dem Command-and-Control-Server (C&C).
• Dateien herunterladen oder hochladen.
• Wechseln Sie das Authentifizierungskennwort sowie den C&C-Server.

Bisher ist nicht klar, welcher Infektionsvektor die Turla-Hacker verwenden, um diese Hintertür zu liefern. Aktive Kopien des Implantats verwendeten jedoch eine DLL im Zusammenhang mit dem Windows-Zeitdienst als Tarnung. Es ist nicht ungewöhnlich, dass bösartige Dateien versuchen, legitime Softwarepakete oder von ihnen verwendete Dateien zu imitieren.

Die Aktivitäten der Turla APT stehen seit 2014 im Fokus der Malware-Forscher. Cybersicherheitsforscher gehen jedoch davon aus, dass die Aktivitäten der staatlich geförderten Gruppe bis in die 2000er Jahre zurückverfolgt werden können.