Turla APT

Turla, également connue sous les noms de Pensive Ursa, Uroburos et Snake, représente une menace avancée persistante (APT) sophistiquée originaire de Russie, avec une histoire remontant à au moins 2004 et des liens présumés avec le Service fédéral de sécurité russe (FSB). Réputé pour ses intrusions ciblées et ses tactiques furtives de pointe, Turla s'est bâti une réputation d'adversaire redoutable et insaisissable, faisant preuve de prouesses techniques exceptionnelles dans l'orchestration de cyberattaques secrètes et furtives.

Au fil des années, Turla a étendu sa présence dans plus de 45 pays, infiltrant un large éventail de secteurs tels que les agences gouvernementales, les missions diplomatiques, les établissements militaires, ainsi que les établissements d'enseignement, de recherche et pharmaceutiques. En outre, le groupe a été impliqué dans des activités liées au conflit russo-ukrainien qui a éclaté en février 2022, selon les rapports du CERT ukrainien, indiquant des opérations d'espionnage dirigées contre les intérêts de défense ukrainiens.

Bien que Turla ait principalement concentré ses efforts d’espionnage sur les systèmes Windows, il a démontré sa capacité à cibler les plates-formes macOS et Linux. Grâce à un développement incessant, Turla a rassemblé un formidable arsenal d'outils malveillants, notamment Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon and HyperStack et TinyTurla , qui ont été activement utilisés dans diverses campagnes menaçantes. .

Turla commence à cibler les systèmes Linux

En 2014, Turla opérait déjà depuis plusieurs années dans le paysage cyber, mais la méthode de son infection restait un mystère. Des recherches menées la même année ont mis en lumière une attaque sophistiquée en plusieurs étapes baptisée Epic Turla, dévoilant l'utilisation par Turla de la famille de logiciels malveillants Epic. Cette campagne a exploité les vulnérabilités CVE-2013-5065 et CVE-2013-3346, en exploitant des e-mails de spear phishing armés d'exploits Adobe PDF ainsi que des techniques de point d'eau employant des exploits Java (CVE-2012-1723).

Un aspect notable de cette campagne a été le déploiement par Turla de portes dérobées avancées telles que Carbon/Cobra, utilisant occasionnellement les deux comme mécanisme de basculement.

Les opérations précédentes de Turla ciblaient principalement les systèmes Windows, mais en août 2014, le paysage a changé lorsque Turla s'est aventuré pour la première fois sur le territoire Linux. Connue sous le nom de Penguin Turla, cette initiative a vu le groupe utiliser un module Linux Turla comprenant un exécutable C/C++ lié statiquement à plusieurs bibliothèques, augmentant considérablement la taille de son fichier pour cette opération particulière.

Turla introduit de nouvelles menaces de logiciels malveillants dans ses opérations d'attaque

En 2016, un groupe connu sous le nom de Waterbug, prétendument une entité parrainée par l'État, a utilisé des variantes de Trojan.Turla et Trojan.Wipbot pour exploiter une vulnérabilité Zero Day, ciblant spécifiquement la vulnérabilité d'élévation de privilèges locale NDProxy.sys du noyau Windows (CVE-2013). -5065). Selon les résultats de la recherche, les attaquants ont utilisé des e-mails méticuleusement rédigés contenant des pièces jointes dangereuses ainsi qu'un réseau de sites Web compromis pour diffuser leurs charges utiles néfastes.

L'année suivante, les chercheurs ont découvert une itération avancée du malware Turla, une porte dérobée de deuxième étape identifiée sous le nom de Carbon. Le lancement d’une attaque Carbon implique généralement que la victime reçoive un e-mail de spear phishing ou tombe sur un site Web compromis, familièrement appelé un point d’eau.

Par la suite, une porte dérobée de premier étage comme Tavdig ou Skipper est installée. Une fois les activités de reconnaissance terminées, le cadre Carbon orchestre l’installation de sa porte dérobée de deuxième étape sur les systèmes critiques. Ce framework comprend un dropper chargé d'installer son fichier de configuration, un composant de communication pour interagir avec le serveur de commande et de contrôle (C&C), un orchestrateur pour gérer les tâches et les mouvements latéraux au sein du réseau, et un chargeur pour exécuter l'orchestrateur.

La porte dérobée Kazuar de Turla entre en scène

En mai 2017, des chercheurs en cybersécurité ont associé un cheval de Troie de porte dérobée récemment découvert, Kazuar, au groupe Turla. Développé à l'aide de Microsoft .NET Framework, Kazuar dispose de jeux de commandes hautement fonctionnels capables de charger à distance des plug-ins supplémentaires.

Kazuar fonctionne en collectant des informations sur le système et les noms de fichiers de logiciels malveillants, en établissant un mutex pour garantir une exécution unique et en ajoutant un fichier LNK au dossier de démarrage de Windows.

Les ensembles de commandes de Kazuar présentent des ressemblances avec ceux trouvés dans d’autres chevaux de Troie de porte dérobée. Par exemple, la commande tasklist utilise une requête Windows Management Instrumentation (WMI) pour récupérer les processus en cours d'exécution à partir de Windows, tandis que la commande info collecte des données sur les fenêtres ouvertes. De plus, la commande cmd de Kazuar exécute des commandes en utilisant cmd.exe pour les systèmes Windows et /bin/bash pour les systèmes Unix, indiquant sa conception comme un malware multiplateforme ciblant à la fois les environnements Windows et Unix.

Des recherches plus approfondies menées début 2021 ont révélé des parallèles notables entre les portes dérobées Sunburst et Kazuar.

D'autres campagnes d'attaque Turla auront lieu en 2017

Turla a introduit une nouvelle porte dérobée de deuxième étape appelée Gazer, codée en C++, tirant parti des attaques de point d'eau et des campagnes de spear phishing pour cibler précisément les victimes.

En plus de ses capacités furtives améliorées, Gazer présentait de nombreuses ressemblances avec les portes dérobées de deuxième étage précédemment utilisées comme Carbon et Kazuar. Une caractéristique notable de cette campagne était l'intégration de phrases « liées aux jeux vidéo » dans le code. Turla a sécurisé le serveur de commande et de contrôle (C&C) de Gazer en le chiffrant avec sa bibliothèque propriétaire pour le chiffrement 3DES et RSA.

Turla intègre les menaces et les infrastructures d'autres groupes de cybercriminalité

En 2018, un rapport de renseignement a indiqué que Turla utilisait des outils nuisibles nouvellement développés, Neuron et Nautilus , aux côtés du Snake Rootkit , pour cibler les machines Windows, avec un accent particulier sur les serveurs de messagerie et Web. Turla a utilisé des victimes Snake compromises pour rechercher des shells ASPX, transmettant des commandes via des valeurs de cookies HTTP cryptées. Turla a exploité les shells ASPX pour établir un accès initial aux systèmes cibles afin de déployer des outils supplémentaires.

Une fois de plus en 2018, Turla a jeté son dévolu sur les bureaux étrangers des gouvernements européens, dans le but d’infiltrer des informations hautement sensibles par une porte dérobée. Cette campagne ciblait Microsoft Outlook et The Bat!, un client de messagerie largement utilisé en Europe de l'Est, redirigeant tous les e-mails sortants vers les attaquants. La porte dérobée utilisait des messages électroniques pour extraire des données, en utilisant des documents PDF spécialement conçus et en utilisant les messages électroniques comme canal pour son serveur de commande et de contrôle (C&C).

En 2019, les opérateurs de Turla ont exploité l'infrastructure d'OilRig, un groupe APT associé à l'Iran connu pour cibler des entités et organisations gouvernementales au Moyen-Orient, pour mener leurs propres opérations d'attaque. Cette campagne impliquait le déploiement d'une variante personnalisée fortement modifiée de l'outil Mimikatz ainsi qu'une nouvelle gamme d'outils comportant plusieurs nouvelles portes dérobées. Dans les phases ultérieures de la campagne, le groupe Turla a utilisé une porte dérobée d'appel de procédure à distance (RPC) distincte, incorporant le code de l'outil PowerShell Runner accessible au public pour exécuter des scripts PowerShell sans s'appuyer sur powershell.exe.

Nouvelles menaces de porte dérobée publiées tout au long de 2020

En mars 2020, des analystes de la sécurité ont observé que Turla utilisait des attaques par points d'eau pour cibler de nombreux sites Web arméniens. Ces sites Web ont reçu du code JavaScript corrompu, bien que les méthodes d'accès précises utilisées dans les attaques restent confidentielles.

Par la suite, les pages Web compromises ont distribué du code JavaScript compromis en deuxième étape pour identifier les navigateurs victimes et les inciter à installer un mauvais programme d'installation Flash. Turla a ensuite exploité NetFlash , un téléchargeur .NET, et PyFlash pour son déploiement secondaire de logiciels malveillants.

Quelques mois plus tard, Turla a utilisé ComRAT v4 , alias Agent.BTZ, comme cheval de Troie d'accès à distance (RAT). Ce malware, conçu en C++, dispose d'un système de fichiers virtuel FAT16 fréquemment utilisé pour exfiltrer des documents sensibles. Il est diffusé via des voies d'accès établies telles que la porte dérobée PowerStallion PowerShell tout en utilisant HTTP et le courrier électronique comme canaux de commande et de contrôle (C&C).

Vers la fin de l’année 2020, des experts en cybersécurité sont tombés sur une porte dérobée et un extracteur de documents sans papiers nommé Crutch , attribué au groupe Turla. Les versions antérieures de Crutch incluaient une porte dérobée communiquant avec un compte Dropbox prédéterminé via l'API HTTP officielle.

Cette porte dérobée possédait la capacité d'exécuter des commandes liées à la manipulation de fichiers, à l'exécution de processus et à l'établissement de la persistance via le piratage de DLL sur Google Chrome, Mozilla Firefox ou Microsoft OneDrive. Notamment, Crutch v4 dispose d'une fonctionnalité automatisée permettant de télécharger des fichiers de disque local et amovibles vers le stockage Dropbox, facilitée par la version Windows de l'utilitaire Wget, contrairement aux itérations précédentes reposant sur des commandes de porte dérobée.

Le groupe Turla APT lance le logiciel malveillant TinyTurla et commence à cibler les actifs en Ukraine

L'émergence de la porte dérobée TinyTurla a attiré l'attention en 2021. Cette menace sert probablement de plan d'urgence, permettant un accès durable aux systèmes même en cas de suppression principale du logiciel malveillant. L'installation de cette porte dérobée est facilitée via un fichier batch et se manifeste sous la forme d'une DLL de service nommée w64time.dll, visant à imiter le fichier w32time.dll légitime sur les plateformes Windows.

Au milieu de l'invasion russe de l'Ukraine, l'APT Turla a réorienté son attention vers des cibles alignées sur les intérêts de la Russie dans le conflit. Une annonce de l'équipe ukrainienne d'intervention en cas d'urgence informatique (CERT-UA) en juillet 2023 a révélé l'utilisation par Turla du logiciel malveillant Capibar et de la porte dérobée Kazuar pour des activités d'espionnage ciblant les actifs de défense ukrainiens. Dans cette opération, Capibar était employé pour la collecte de renseignements tandis que Kazuar se spécialisait dans le vol d'informations d'identification. L’attaque visait principalement des entités diplomatiques et militaires par le biais de campagnes de phishing.

L'émergence de TinyTurla-NG et Pelmeni Wrapper

Vers la fin de l’année 2023, l’acteur malveillant Turla a été observé en train d’utiliser une nouvelle porte dérobée nommée TinyTurla-NG au cours d’une campagne de trois mois. L'opération d'attaque visait spécifiquement des organisations non gouvernementales en Pologne. Semblable à son prédécesseur, TinyTurla-NG fonctionne comme une porte dérobée compacte de « dernier recours ». Il est stratégiquement déployé pour rester inactif jusqu'à ce que tous les autres mécanismes d'accès non autorisés ou de portes dérobées sur les systèmes compromis échouent ou soient découverts.

En février 2024, des analystes en cybersécurité ont découvert une nouvelle campagne Turla présentant des stratégies innovantes et une variante modifiée du cheval de Troie Kazuar. Dans cette opération d'attaque particulière, la menace Kazuar a été distribuée aux victimes ciblées via un emballage auparavant non documenté nommé Pelmeni .

L'APT Turla reste une cybermenace majeure malgré des années d'opérations d'attaque détaillées

Le groupe Turla se présente comme un adversaire persistant et endurant, bénéficiant d’un long historique d’activités. Leurs origines, leurs tactiques et le choix de leurs cibles suggèrent une opération dotée de ressources suffisantes et dirigée par des agents compétents. Au fil des années, Turla a constamment amélioré ses outils et ses méthodologies, ce qui témoigne d'un engagement envers un perfectionnement continu.

La menace posée par des groupes comme Turla souligne l’impératif pour les organisations et les gouvernements de rester vigilants. Cela implique de se tenir au courant des développements, d’échanger des renseignements et de mettre en œuvre des mesures de sécurité robustes. De telles mesures proactives permettent aux groupes et aux individus de renforcer leurs défenses contre les menaces posées par ces acteurs.