Turla è uno degli APT (Advanced Persistent Threat) più avanzati al mondo. Turla Group è un consolidato collettivo operativo almeno dal 2004. Conosciuto anche come Snake, Venomous Bear, Uroburos, Group 88, Waterbug e Turla Team, è oggi una delle campagne di cyber-spionaggio più sofisticate.

È famoso per lo sviluppo di tecniche nuove e molto avanzate per evitare il rilevamento e garantire una persistenza sulla rete bersagliata. Questa minaccia è nota per bersagliare, tra gli altri, i settori del governo, della difesa e dell’istruzione in tutto il mondo.

Gli attacchi di Turla

Gli APT Turla sono noti per avere un gusto per le vittime di fascia alta. È stato riferito che l’APT di Turla si era infiltrato nel Federal College of Public Administration della Germania e poi, attraverso di esso, era riuscito a compromettere il Federal Foreign Office del paese.

Inoltre, questa non era una penetrazione una tantum; è stato scoperto che Turla è rimasto sotto il radar delle autorità tedesche per quasi tutto il 2017. Durante questo periodo, il gruppo di hacker ha sottratto e raccolto dati del governo.

Questa impressionante operazione è stata eseguita con uno strumento di APT chiamato Turla Backdoor. Tre paesi europei hanno segnalato attacchi da parte di questo gruppo di hacker russi. Gli obiettivi erano ancora una volta i loro uffici esteri.

Le caratteristiche di Turla

È lecito ritenere che l’APT di Turla sia fortemente coinvolto nello spionaggio poiché i suoi obiettivi principali sono sempre stati diplomatici, autorità militari e statali e politici. Si sospetta che tale APT possa essere collegato al governo russo, ma questa informazione deve ancora essere confermata.

Si ritiene che la backdoor di Turla abbia avuto origine nel 2009. Tuttavia, il gruppo di hacker non è stato inattivo nel corso degli anni e ha introdotto molti miglioramenti alla loro backdoor come la capacità della minaccia di ricevere comandi tramite un file PDF allegato a un’e-mail, che è stato introdotto nel 2016.

Nel 2018 è stata aggiunta una nuova funzionalità alla backdoor di Turla APT: è stata aggiornata con la possibilità di eseguire comandi PowerShell sull’host infetto. Questa versione più recente di questa backdoor è dotata della capacità di infiltrarsi in Microsoft Outlook.

È interessante notare che l’APT Turla non utilizza una vulnerabilità nell’applicazione, ma manipola invece il legittimo MAPI (Messaging Application Programming Interface) di Microsoft Outlook e attraverso di esso ottiene l’accesso ai messaggi diretti degli obiettivi previsti.

A differenza della maggior parte delle backdoor, che di solito ricevono comandi tramite un server di comando e controllo degli autori, la Turla Backdoor è controllata tramite e-mail appositamente predisposte grazie al miglioramento introdotto dall’APT Turla nel 2016.

La Turla Backdoor è in grado di eseguire molti comandi, tra che raccolgono dati e scaricano ed eseguono vari file. Questa backdoor non è troppo esigente quando si tratta di dove viene piantata: la Turla Backdoor ha la forma di un modulo DLL (Dynamic Link Library) ed è in grado di funzionare da qualsiasi punto all’interno del disco rigido.

Inoltre, l’APT Turla utilizza un’utilità Windows (RegSvr32.exe) per installare la sua backdoor sul sistema di destinazione. Naturalmente, come ogni minaccia altamente efficiente di questo calibro, anche la Turla Backdoor è dotata di grande persistenza.

Per ridurre al minimo le possibilità di essere scoperti, Turla Backdoor non svolgerà i suoi “doveri” tutto il tempo. Utilizza invece una nota vulnerabilità di Windows relativa al Component Object Model (COM).

Sfruttando questa vulnerabilità, la backdoor è in grado di iniettare le sue istanze nel processo legittimo ‘outlook.exe’, eliminando così la necessità di utilizzare una DLL injection: un vettore di attacco che i prodotti antivirus rilevano facilmente.

Infiltrandosi in Microsoft Outlook, la Backdoor è in grado di raccogliere i metadati sull’attività di messaggistica della vittima: oggetto dell’e-mail, nome dell’allegato, mittenti e destinatari. Questi dati vengono raccolti e archiviati dalla Backdoor e vengono trasferiti periodicamente ai server dell’attaccante.

Una minaccia come Turla Backdoor potrebbe causare molti danni, soprattutto se gli aggressori riescono a infettare un sistema utilizzato per archiviare dati o comunicazioni sensibili ed è evidente che l’APT prende di mira proprio questi utenti.

Oltre al furto di dati, al malware può essere ordinato di scaricare file aggiuntivi o eseguire script PowerShell danneggiati.

Come difendersi

Come spesso accade, gli accorgimenti possono sembrare semplici e ripetitivi, ma non meno efficaci:

• Aggiornare il sistema operativo e tutte le applicazioni di terze parti, in particolare Java, Microsoft Office e Adobe Reader
• Non installare software da fonti non attendibili, ad esempio quando richiesto da una pagina random
• Fare attenzione alle e-mail provenienti da fonti sconosciute che contengono allegati o collegamenti sospetti

Leggi gli altri report sul blog di Telsy