Les pirates Turla APT présentent la porte dérobée TinyTurla

Quand on parle de hackers russes, il n'y a pas moyen de ne pas mentionner le groupe Turla APT (Advanced Persistent Threat). Leurs opérations sont observées de près depuis 2014, et ils sont considérés comme l'un des principaux groupes de piratage soutenus par la Russie. Leur implant le plus notoire porte le nom du groupe lui-même - le Turla Backdoor. Bien sûr, il a subi des changements majeurs depuis sa sortie initiale, mais les criminels continuent à s'appuyer sur leur cheval de Troie à ce jour. En fait, ils ont récemment lancé une « mini » version de la menace – la porte dérobée TinyTurla. Il conserve certaines des caractéristiques originales du Turla Backdoor , mais il manque également dans certains aspects. Cependant, la fonctionnalité limitée lui permet de rester caché pendant de longues périodes, sans déclencher trop de drapeaux rouges.

Il est peu probable que le manque de fonctionnalités soit un problème pour les pirates de Turla, car ils semblent avoir un plan sur la façon dont la TinyTurla Backdoor sera utilisée. Au lieu d'exécuter des attaques à part entière, il est conçu pour gagner en persistance, puis déployer des charges utiles supplémentaires. Cela expliquerait pourquoi les criminels ont choisi de supprimer certaines de ses fonctionnalités et de se concentrer plutôt sur l'évasion.

Les cibles qui intéressent les hackers de Turla APT semblent être basées en Allemagne et aux États-Unis. Bien sûr, il ne faudra probablement pas longtemps avant qu'ils étendent la portée de cette opération et déploient la TinyTurla Backdoor dans plus de pays.

En plus d'emprunter le code de la porte dérobée Turla, l'implant TinyTurla exploite également la même configuration réseau et les mêmes serveurs, renforçant ainsi la connexion entre les infâmes pirates informatiques et ce mini cheval de Troie de porte dérobée.

Quelles sont les fonctionnalités de TinyTurla Backdoor ?

Bien qu'il manque certaines fonctionnalités notables, il a encore beaucoup de puissance de feu pour causer des dommages. Les criminels peuvent contrôler l'implant à distance grâce à un ensemble de commandes prédéfinies. Grâce à eux, ils peuvent gérer le système de fichiers, contrôler les processus et même modifier la configuration du réseau. Une caractéristique intéressante de la porte dérobée TinyTurla est qu'elle oblige les criminels à s'authentifier. Cela est probablement destiné à protéger l'implant contre d'autres criminels ou analystes de logiciels malveillants curieux. Jusqu'à présent, l'activité de la porte dérobée TinyTurla reste assez faible. Cependant, nous n'avons pas encore vu comment cette campagne des hackers Turla APT va se développer.