Η ομάδα hacking Turla, επέστρεψε με νέα εργαλεία, που χρησιμοποιήθηκαν πρόσφατα σε επιθέσεις εναντίον των ΗΠΑ, της Γερμανίας και του Αφγανιστάν.
Δείτε επίσης: Η ρωσική hacking ομάδα Turla παραβίασε ευρωπαϊκό κυβερνητικό οργανισμό
Την Τρίτη, η Cisco Talos είπε ότι η ομάδα, ρωσικής προέλευσης, έχει αναπτύξει ένα νέο backdoor για επιμονή και μυστικότητα.
Με την ονομασία TinyTurla, το άγνωστο στο παρελθόν backdoor είναι απλό στο σχεδιασμό αλλά κατάλληλο για συγκεκριμένους σκοπούς, όπως η ρίψη ωφέλιμου φορτίου και η αποφυγή του εντοπισμού, εάν το κύριο κακόβουλο λογισμικό της Turla απομακρυνθεί από ένα παραβιασμένο μηχάνημα.
Η Turla, που είναι ενεργή από το 2004, γνωστή και ως Snake and Uroburos, είναι μια περίπλοκη επιχείρηση με μια μεγάλη λίστα θυμάτων υψηλού προφίλ στο χαρτοφυλάκιό της. Προηγούμενοι στόχοι της περιλαμβάνουν το Πεντάγωνο, κυβερνητικές και διπλωματικές υπηρεσίες, στρατιωτικές μονάδες, ερευνητικά ιδρύματα και άλλα σε τουλάχιστον 45 χώρες.
Τώρα, φαίνεται ότι η APT χτυπά τις ΗΠΑ, τη Γερμανία και το Αφγανιστάν, το τελευταίο από τα οποία στοχοποιήθηκε πριν από την κατάληψη της χώρας από τους Ταλιμπάν και την αποχώρηση των δυτικών στρατιωτικών δυνάμεων.
Δείτε ακόμα: Turla: χρησιμοποιεί δορυφόρους για απόλυτο επίπεδο ανωνυμίας
Η Talos λέει ότι πιθανότατα το κακόβουλο λογισμικό χρησιμοποιήθηκε σε προσπάθειες παραβίασης των συστημάτων της προηγούμενης κυβέρνησης.
Ένα δείγμα που αποκτήθηκε από την ομάδα αποκάλυψε ότι το backdoor, σχηματίζεται ως .DLL, και εγκαταστάθηκε ως υπηρεσία σε μηχάνημα Windows. Το αρχείο ονομάζεται w64time.dll και καθώς υπάρχει ένα νόμιμο Windows w32time.dll, ενδέχεται να μην φαίνεται αμέσως κακόβουλο.
Με την ονομασία “Windows Time Service“, το backdoor συνδέεται με ένα διακομιστή εντολών και ελέγχου (C2) που ελέγχεται από την Turla και επικοινωνεί με το σύστημα μέσω κρυπτογραφημένου καναλιού HTTPS κάθε πέντε δευτερόλεπτα, προκειμένου να ελέγχεται για τυχόν νέες εντολές ή οδηγίες.
Το TinyTurla είναι σε θέση να ανεβάζει και να εκτελεί αρχεία και ωφέλιμα φορτία, να δημιουργεί υποεπεξεργασίες και να φιλτράρει δεδομένα. Η λειτουργικότητα και ο κώδικα του backdoor είναι επίτηδες απλοϊκή, για να αποτρέψει την ανίχνευση ως κακόβουλου λογισμικού.
Δείτε επίσης: Κινέζοι χάκερς ανέπτυσσαν επί 3 χρόνια backdoor για να κατασκοπεύσουν κυβερνήσεις
Σύμφωνα με την Talos, το backdoor χρησιμοποιείται τουλάχιστον από το 2020.
Πρόσφατα, οι ερευνητές της Kaspersky διαπίστωσαν επικαλύψεις κώδικα μεταξύ της Turla, της DarkHalo/UNC2452 APT, του Sunburst backdoor και του Kazuar backdoor. Παρόλο που υπάρχουν κοινά χαρακτηριστικά μεταξύ Sunburst και Kazuar, δεν είναι δυνατόν να συναχθεί με βεβαιότητα οποιαδήποτε συγκεκριμένη σχέση μεταξύ των ομάδων απειλών και αυτών των εργαλείων.
