Ruská Turla je opäť na scéne, tentokrát s vynovenými nástrojmi

Ruská Turla je opäť na scéne, tentokrát s vynovenými nástrojmi

Ruská hackerská skupina Turla v priebehu tohto roka napadla bližšie nešpecifikovanú európsku vládnu inštitúciu. Na posilnenie svojho útoku okrem odskúšaných malvérov využila aj trojicu aktualizovaných nástrojov.

Oddelenie Cyber Threat Intelligence spoločnosti Accenture zverejnilo detailné informácie o nedávnej špionážnej aktivite APT skupiny Turla, ktorá mala prebiehať medzi júnom a októbrom 2020.

Výskumníci identifikovali nové nástroje C&C, vďaka ktorým sa hackerom darí vytvoriť perzistenciu v napadnutej sieti.

Vynovené zadné vrátka

Hackeri v rámci tejto vlny útokov použili kombináciu zadných vrátok v podobe vzdialeného procedurálneho príkazu (RPC), v tomto prípade prostredníctvom nástroja HyperStack, a dvoch trojanov pre vzdialený prístup (RAT), Kazuar a Carbon.

Turla využíva HyperStack už minimálne od roku 2018, pričom sa predpokladá, že si ho sama vyvinula. Nástroj v jeho súčasnej podobe operuje s funkcionalitami podobnými ďalším typom zadným vrátok.

HyperStack sa v sieti šíri prostredníctvom nadviazania medziprocesovej komunikácie IPC$ s iným vzdialeným zariadením. IPC$ slúži na uľahčenie komunikácie medzi procesmi a umožňuje pomenovaným zreťazeniam do nich zapisovať alebo z nich čítať.

Ak je pripojenie nástroja pomocou tohto typu zdieľania úspešné, nástroj môže zasielať nakazenému zariadeniu vzdialené príkazy pochádzajúce z C&C servera.

Zdroj: Accenture

Legitímne služby pre záškodné účely

Dva trójske kone slúžia hackerom na udržiavanie kontroly nad nakazenými zariadeniami po tom, čo dôjde k zresetovaniu pomenovaného zreťazenia medzi zariadeniami.

Konfigurácia trojana Kazuar, objaveného roku 2017, umožňuje príjem príkazov prostredníctvom identifikátorov URI, smerujúcich do interných C&C uzlov v sieti.

Operátori tak môžu do nakazených zariadení inštalovať ďalšie doplnky aj pomocou vzdialeného prístupu.

Zdroj: Accenture

Druhý, starší trojský kôň Carbon, ktorý Turla využívala ešte pred zapojením Kazuara, má pokročilú schopnosť vzájomného sprístupňovania (P2P). Jeho infraštruktúra podľa analýzy ESETu využíva napríklad projekt Pastebin.

Zvýšený trend zneužívania legitímnych služieb na záškodné účely pozoruje aj Accenture:

  • Webové služby umožňujú kyberšpiónom zamaskovanie škodlivých dát za legitímny sieťový prenos.
  • Skupiny môžu ľahko meniť alebo vytvárať novú infraštruktúru, čo obranným mechanizmom sťažuje jej zničenie alebo potopenie.
  • Používanie webových služieb komplikuje atribúciu, pretože C&C infraštruktúru nevlastní samotná záškodná skupina.

Hrozba Turly pretrvá

APT skupina Turla, známa aj pod menami Snake, Uroburos či Waterbug, nie je na scéne kyberzločinov novým hráčom – jej pôsobenie je možné datovať už do roku 2005.

Skupina je známa najmä pre svoju rozsiahlu špionážnu činnosť. Preslávilo ju najmä krytie lokalizácie svojich útokov nechránenými satelitmi, ktoré nepodporujú šifrovanú komunikáciu.

Do portfólia jej cieľov sa zaraďuje široké spektrum subjektov po celom svete, typicky ide o úzke štruktúry vládnych a akademických spoločenských sfér.

Podľa spoločnosti Accenture bude aktivita Turly pretrvávať aj naďalej, a to najmä vďaka využívaniu stále sofistikovanejších nástrojov a strategických postupov.

Na pozore by sa mali mať najmä siete vládnych a medzinárodných inštitúcií.


Jana Tuhrinová