„TinyTurla Backdoor“, valstybės remiama „Turla APT“ kenkėjiška programa, pasiekia Vokietiją ir JAV

„Turla Advanced Persistent Threat“ (APT) grupė ir toliau yra viena žinomiausių, valstybės remiamų Rusijos įsilaužėlių. Jie buvo aktyvūs įsilaužimo scenoje beveik dešimtmetį ir nuolat tobulina savo metodus bei arsenalą. Vienas iš naujausių jų naudojamų įsilaužimo įrankių papildymų yra „Turla“ galinių durų perdirbimas. Tačiau naujai grėsmei buvo nutrauktos kai kurios jos savybės - todėl ji pavadinta „TinyTurla Backdoor“. Nepaisant šiek tiek riboto funkcionalumo, tai vis dar yra labai pavojinga grėsmė, galinti suteikti įsilaužėliams ilgalaikę prieigą prie įsiskverbusios sistemos.

Panašu, kad dabartinėje „TinyTurla Backdoor“ kampanijoje pagrindinis dėmesys skiriamas atkaklumui įsilaužusioje mašinoje įgyti ir tada panaudoti implantą antrinei naudingai apkrovai pristatyti. Paprastas „TinyTurla Backdoor“ kodavimo stilius ir ribotos funkcijos leido jam kurį laiką likti po radaru, išvengiant kai kurių saugumo priemonių. Tačiau galite būti tikri, kad šiais laikais antivirusinė programinė įranga ją lengvai sugaus.

Šiuo metu Vokietijoje ir JAV buvo nustatyti aktyvūs „TinyTurla Backdoor“ atvejai. Tačiau labai tikėtina, kad „Turla“ įsilaužėliai nuėjo ir po kitus regionus. Šio užpakalinio durų kodo ir kitų „Turla“ implantų panašumai nėra vienintelė priežastis manyti, kad grupė yra už šio projekto - jie taip pat naudoja tą pačią tinklo infrastruktūrą.

Ką daro „TinyTurla Backdoor“?

Nors „TinyTurla Backdoor“ funkcijos yra ribotos, jos vis tiek gali sukelti daug rūpesčių. Kai kurios komandos, kurias gali atlikti šis implantas, yra šios:

• Autentifikuokite vartotoją, bandantį prieiti prie implanto - tikriausiai tam, kad analitikai nebandytų kontroliuoti ir analizuoti implanto.
• Vykdykite nuotolines komandas/failus ir užregistruokite išvestį į komandų ir valdymo (C&C) serverį.
• Atsisiųskite arba įkelkite failus.
• Pakeiskite autentifikavimo slaptažodį ir C&C serverį.

Kol kas neaiškus infekcijos vektorius, kurį „Turla“ įsilaužėliai naudoja šiems galiniams vartams pristatyti. Tačiau aktyviose implanto kopijose buvo užmaskuotas DLL, susijęs su „Windows Time Service“. Neretai kenkėjiški failai bando imituoti teisėtus programinės įrangos paketus ar jų naudojamus failus.

Nuo 2014 m. „Turla APT“ veikla buvo kenkėjiškų programų tyrinėtojų dėmesys. Tačiau kibernetinio saugumo tyrėjai mano, kad valstybės remiamos grupės veikla gali būti siejama su 2000-aisiais.