TinyTurla Backdoor, ένα χρηματοδοτούμενο από το κράτος Turla APT Malware, χτυπά τη Γερμανία και τις ΗΠΑ
Η ομάδα Turla Advanced Persistent Threat (APT) συνεχίζει να είναι ένας από τους πιο διαβόητους, κρατικούς χορηγούς Ρώσους χάκερ. Έχουν ενεργήσει στη σκηνή των hacking για σχεδόν μια δεκαετία και εξελίσσουν συνεχώς τις προσεγγίσεις και το οπλοστάσιό τους. Μία από τις πιο πρόσφατες προσθήκες στα εργαλεία hacking που χρησιμοποιούν είναι μια επανεκτέλεση της πίσω πόρτας Turla. Η νέα απειλή, ωστόσο, έχει κόψει ορισμένα από τα χαρακτηριστικά της - γι 'αυτό και ονομάστηκε TinyTurla Backdoor. Παρά την ελαφρώς περιορισμένη λειτουργικότητα, εξακολουθεί να είναι μια πολύ επικίνδυνη απειλή που θα μπορούσε να προσφέρει στους χάκερ μακροπρόθεσμη πρόσβαση στο διηθημένο σύστημα.
Φαίνεται ότι η τρέχουσα καμπάνια TinyTurla Backdoor επικεντρώνεται στην απόκτηση επιμονής στο χακαρισμένο μηχάνημα και στη συνέχεια στη χρήση του εμφυτεύματος για την παροχή δευτερεύοντος ωφέλιμου φορτίου. Το απλοϊκό στυλ κωδικοποίησης και η περιορισμένη λειτουργικότητα του TinyTurla Backdoor του επέτρεψαν να παραμείνει υπό ραντάρ για λίγο, αποφεύγοντας κάποια μέτρα ασφαλείας. Ωστόσο, μπορείτε να είστε σίγουροι ότι στις μέρες μας, το λογισμικό προστασίας από ιούς θα το πιάσει με ευκολία.
Επί του παρόντος, έχουν εντοπιστεί ενεργές περιπτώσεις του TinyTurla Backdoor στη Γερμανία και τις Ηνωμένες Πολιτείες. Ωστόσο, είναι πολύ πιθανό οι χάκερ Turla να έχουν ακολουθήσει και άλλες περιοχές. Οι ομοιότητες μεταξύ του κώδικα αυτού του backdoor και άλλων εμφυτευμάτων Turla δεν είναι ο μόνος λόγος για να πιστεύουμε ότι η ομάδα βρίσκεται πίσω από αυτό το έργο - χρησιμοποιούν επίσης την ίδια υποδομή δικτύου.
Τι κάνει το TinyTurla Backdoor;
Τα χαρακτηριστικά του TinyTurla Backdoor, ενώ είναι περιορισμένα, μπορούν να προκαλέσουν πολλά προβλήματα. Μερικές από τις εντολές που μπορεί να εκτελέσει αυτό το εμφύτευμα είναι:
- Πιστοποιήστε τον χρήστη που προσπαθεί να αποκτήσει πρόσβαση στο εμφύτευμα - πιθανώς για να αποτρέψει τους αναλυτές να προσπαθήσουν να ελέγξουν και να αναλύσουν το εμφύτευμα.
- Εκτελέστε απομακρυσμένες εντολές/αρχεία και, στη συνέχεια, καταγράψτε την έξοδο στον διακομιστή εντολών και ελέγχου (C&C).
- Λήψη ή μεταφόρτωση αρχείων.
- Αλλάξτε τον κωδικό πρόσβασης ελέγχου ταυτότητας, καθώς και τον διακομιστή C&C.
Μέχρι στιγμής, ο φορέας μόλυνσης που χρησιμοποιούν οι χάκερ Turla για να παραδώσουν αυτήν την πίσω πόρτα δεν είναι σαφής. Ωστόσο, τα ενεργά αντίγραφα του εμφυτεύματος χρησιμοποιούσαν ως μεταμφίεση ένα DLL που σχετίζεται με την υπηρεσία Windows Time. Δεν είναι ασυνήθιστο για κακόβουλα αρχεία να προσπαθούν να μιμηθούν νόμιμα πακέτα λογισμικού ή αρχεία που χρησιμοποιούν.
Η δραστηριότητα του Turla APT βρίσκεται στο επίκεντρο των ερευνητών κακόβουλου λογισμικού από το 2014. Ωστόσο, οι ερευνητές κυβερνοασφάλειας πιστεύουν ότι η δραστηριότητα της ομάδας που χρηματοδοτείται από το κράτος μπορεί να εντοπιστεί στη δεκαετία του 2000.