Turla APT
Turla, también conocida como Pensive Ursa, Uroburos y Snake, representa una sofisticada Amenaza Persistente Avanzada (APT) originaria de Rusia, con una historia que se remonta al menos a 2004 y supuestos vínculos con el Servicio Federal de Seguridad Ruso (FSB). Turla, reconocida por sus intrusiones selectivas y tácticas de sigilo de vanguardia, se ha ganado la reputación de ser un adversario formidable y esquivo, mostrando una destreza técnica excepcional en la orquestación de ataques cibernéticos encubiertos y sigilosos.
A lo largo de los años, Turla ha ampliado su alcance a más de 45 países, infiltrándose en una amplia gama de sectores como agencias gubernamentales, misiones diplomáticas, establecimientos militares, así como instituciones educativas, de investigación y farmacéuticas. Además, el grupo ha estado implicado en actividades relacionadas con el conflicto ruso-ucraniano que estalló en febrero de 2022, según informes del CERT de Ucrania, que indican operaciones de espionaje dirigidas a los intereses de defensa ucranianos.
Aunque Turla centró predominantemente sus esfuerzos de espionaje en sistemas basados en Windows, ha demostrado capacidades para apuntar a plataformas macOS y Linux. A través de un desarrollo incesante, Turla ha acumulado un formidable arsenal de herramientas de malware, que incluyen, entre otras, Capibar, Kazuar , Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon e HyperStack y TinyTurla , que se han empleado activamente en varias campañas amenazantes. .
Tabla de contenido
Turla comienza a apuntar a sistemas Linux
En 2014, Turla ya llevaba varios años operando en el panorama cibernético, pero el método de infección seguía siendo un misterio. La investigación realizada el mismo año arrojó luz sobre un sofisticado ataque de varias etapas denominado Epic Turla, que revela la utilización por parte de Turla de la familia de malware Epic. Esta campaña aprovechó las vulnerabilidades CVE-2013-5065 y CVE-2013-3346, aprovechando correos electrónicos de phishing armados con exploits de Adobe PDF junto con técnicas de abrevadero que emplean exploits de Java (CVE-2012-1723).
Un aspecto notable de esta campaña fue el despliegue por parte de Turla de puertas traseras avanzadas como Carbon/Cobra, utilizando ocasionalmente ambas como mecanismo de conmutación por error.
Las operaciones anteriores de Turla se centraban predominantemente en sistemas Windows, pero en agosto de 2014, el panorama cambió cuando Turla se aventuró en territorio Linux por primera vez. Conocida como Penguin Turla, esta iniciativa vio al grupo emplear un módulo Linux Turla que presenta un ejecutable C/C++ vinculado estáticamente a múltiples bibliotecas, aumentando significativamente el tamaño de su archivo para esta operación en particular.
Turla introduce nuevas amenazas de malware en sus operaciones de ataque
En 2016, un grupo conocido como Waterbug, supuestamente una entidad patrocinada por el estado, empleó variantes de Trojan.Turla y Trojan.Wipbot para explotar una vulnerabilidad de día cero, específicamente dirigida a la vulnerabilidad de escalada de privilegios locales del kernel de Windows NDProxy.sys (CVE-2013). -5065). Según los resultados de la investigación, los atacantes utilizaron correos electrónicos meticulosamente elaborados que contenían archivos adjuntos inseguros junto con una red de sitios web comprometidos para entregar sus nefastas cargas útiles.
Al año siguiente, los investigadores descubrieron una iteración avanzada del malware Turla: una puerta trasera de segunda etapa identificada como Carbon. El inicio de un ataque de Carbon generalmente implica que la víctima reciba un correo electrónico de phishing o se tope con un sitio web comprometido, conocido coloquialmente como abrevadero.
Posteriormente se instala una puerta trasera de primera etapa como Tavdig o Skipper . Una vez finalizadas las actividades de reconocimiento, el marco Carbon organiza la instalación de su puerta trasera de segunda etapa en sistemas críticos. Este marco comprende un cuentagotas responsable de instalar su archivo de configuración, un componente de comunicación para interactuar con el servidor de Comando y Control (C&C), un orquestador para gestionar tareas y movimiento lateral dentro de la red, y un cargador para ejecutar el orquestador.
La puerta trasera Kazuar de Turla entra en escena
En mayo de 2017, investigadores de ciberseguridad vincularon un troyano de puerta trasera recién descubierto, Kazuar, con el grupo Turla. Desarrollado utilizando Microsoft .NET Framework, Kazuar cuenta con conjuntos de comandos altamente funcionales capaces de cargar complementos adicionales de forma remota.
Kazuar opera recopilando información del sistema y del nombre de los archivos de malware, estableciendo un mutex para garantizar una ejecución singular y agregando un archivo LNK a la carpeta de inicio de Windows.
Los conjuntos de comandos dentro de Kazuar se parecen a los que se encuentran en otros troyanos de puerta trasera. Por ejemplo, el comando de lista de tareas utiliza una consulta del Instrumental de administración de Windows (WMI) para recuperar procesos en ejecución desde Windows, mientras que el comando de información recopila datos en ventanas abiertas. Además, el comando cmd de Kazuar ejecuta comandos usando cmd.exe para sistemas Windows y /bin/bash para sistemas Unix, lo que indica su diseño como un malware multiplataforma dirigido a entornos Windows y Unix.
Investigaciones adicionales a principios de 2021 revelaron paralelos notables entre las puertas traseras Sunburst y Kazuar.
Más campañas de ataque a Turla se llevarán a cabo en 2017
Turla introdujo una nueva puerta trasera de segunda etapa llamada Gazer, codificada en C++, que aprovecha los ataques de abrevadero y las campañas de phishing para apuntar a las víctimas con precisión.
Además de sus capacidades de sigilo mejoradas, Gazer exhibió numerosos parecidos con puertas traseras de segunda etapa empleadas anteriormente, como Carbon y Kazuar. Una característica notable de esta campaña fue la integración de frases "relacionadas con videojuegos" en el código. Turla aseguró el servidor de Comando y Control (C&C) de Gazer cifrándolo con su biblioteca patentada para cifrado 3DES y RSA.
Turla incorpora amenazas e infraestructura de otros grupos de ciberdelincuencia
En 2018, un informe de inteligencia indicó que Turla empleó herramientas dañinas recientemente desarrolladas, Neuron y Nautilus , junto con Snake Rootkit , para atacar máquinas con Windows, con un enfoque particular en servidores de correo y web. Turla utilizó víctimas de Snake comprometidas para buscar shells ASPX, transmitiendo comandos a través de valores de cookies HTTP cifrados. Turla aprovechó los shells ASPX para establecer un acceso inicial a los sistemas de destino para la implementación de herramientas adicionales.
Una vez más, en 2018, Turla puso su mirada en las oficinas exteriores de los gobiernos europeos, con el objetivo de infiltrar información altamente sensible a través de una puerta trasera. Esta campaña se dirigió a Microsoft Outlook y The Bat!, un cliente de correo ampliamente utilizado en Europa del Este, y redirigía todos los correos electrónicos salientes a los atacantes. La puerta trasera utilizaba mensajes de correo electrónico para extraer datos, empleando documentos PDF especialmente diseñados y mensajes de correo electrónico como conducto para su servidor de Comando y Control (C&C).
En 2019, los operadores de Turla explotaron la infraestructura de OilRig, un grupo APT asociado con Irán conocido por atacar entidades y organizaciones gubernamentales en el Medio Oriente, para llevar a cabo sus propias operaciones de ataque. Esta campaña implicó la implementación de una variante personalizada y muy modificada de la herramienta Mimikatz junto con una nueva gama de herramientas con varias puertas traseras nuevas. En las últimas fases de la campaña, el grupo Turla utilizó una puerta trasera distinta de llamada a procedimiento remoto (RPC), incorporando código de la herramienta PowerShell Runner de acceso público para ejecutar scripts de PowerShell sin depender de powershell.exe.
Nuevas amenazas de puerta trasera lanzadas a lo largo de 2020
En marzo de 2020, los analistas de seguridad observaron que Turla empleaba ataques de abrevadero para atacar numerosos sitios web armenios. A estos sitios web se les inyectó código JavaScript corrupto, aunque los métodos precisos de acceso utilizados en los ataques siguen sin revelarse.
Posteriormente, las páginas web comprometidas distribuyeron código JavaScript comprometido de segunda etapa para identificar los navegadores víctimas y convencerlos de que instalaran un instalador Flash incorrecto. Luego, Turla aprovechó NetFlash , un descargador de .NET, y PyFlash para su implementación de malware secundario.
Unos meses más tarde, Turla empleó ComRAT v4 , alias Agent.BTZ, como troyano de acceso remoto (RAT). Este malware, elaborado con C++, presenta un sistema de archivos virtual FAT16 que se utiliza frecuentemente para extraer documentos confidenciales. Se difunde a través de rutas de acceso establecidas, como la puerta trasera PowerStallion PowerShell, mientras se emplea HTTP y correo electrónico como canales de comando y control (C&C).
A finales de 2020, los expertos en ciberseguridad tropezaron con una puerta trasera y un extractor de documentos indocumentados llamado Crutch , atribuido al grupo Turla. Las versiones anteriores de Crutch incluían una puerta trasera que se comunicaba con una cuenta de Dropbox predeterminada a través de la API HTTP oficial.
Esta puerta trasera poseía capacidades para ejecutar comandos relacionados con la manipulación de archivos, la ejecución de procesos y el establecimiento de persistencia mediante el secuestro de DLL en Google Chrome, Mozilla Firefox o Microsoft OneDrive. En particular, Crutch v4 cuenta con una función automatizada para cargar archivos de unidades locales y extraíbles al almacenamiento de Dropbox, facilitado por la versión de Windows de la utilidad Wget, a diferencia de iteraciones anteriores que dependían de comandos de puerta trasera.
El grupo Turla APT libera el malware TinyTurla y comienza a atacar activos en Ucrania
La aparición de la puerta trasera TinyTurla llamó la atención en 2021. Esta amenaza probablemente sirva como plan de contingencia, permitiendo un acceso sostenido a los sistemas incluso en caso de eliminación primaria del malware. La instalación de esta puerta trasera se facilita a través de un archivo por lotes y se manifiesta como una DLL de servicio denominada w64time.dll, con el objetivo de imitar el archivo legítimo w32time.dll en plataformas Windows.
En medio de la invasión rusa de Ucrania, la APT de Turla redirigió su atención hacia objetivos alineados con los intereses de Rusia en el conflicto. Un anuncio del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio de 2023 reveló la utilización por parte de Turla del malware Capibar y la puerta trasera Kazuar para actividades de espionaje dirigidas a activos de defensa ucranianos. En esta operación, Capibar fue contratado para la recopilación de inteligencia, mientras que Kazuar se especializó en el robo de credenciales. El ataque se dirigió principalmente a entidades diplomáticas y militares a través de campañas de phishing.
La aparición de TinyTurla-NG y Pelmeni Wrapper
Hacia finales de 2023, se observó que el actor de amenazas Turla empleaba una nueva puerta trasera llamada TinyTurla-NG en una campaña que duró tres meses. La operación de ataque tuvo como objetivo específico a organizaciones no gubernamentales en Polonia. Al igual que su predecesor, TinyTurla-NG funciona como una puerta trasera compacta de "último recurso". Se implementa estratégicamente para permanecer inactivo hasta que todos los demás mecanismos de acceso no autorizado o de puerta trasera en los sistemas comprometidos hayan fallado o hayan sido descubiertos.
En febrero de 2024, los analistas de ciberseguridad descubrieron una nueva campaña de Turla que mostraba estrategias innovadoras y una variante modificada del troyano Kazuar. En esta operación de ataque en particular, la amenaza Kazuar se distribuyó a las víctimas objetivo a través de un envoltorio previamente indocumentado llamado Pelmeni .
La APT de Turla sigue siendo una importante ciberamenaza a pesar de años de operaciones de ataque detalladas
El grupo Turla se erige como un adversario persistente y duradero, con una larga trayectoria de actividades. Sus orígenes, tácticas y elección de objetivos sugieren una operación con buenos recursos dirigida por agentes expertos. A lo largo de los años, Turla ha mejorado constantemente sus herramientas y metodologías, lo que indica un compromiso con el perfeccionamiento continuo.
La amenaza que representan grupos como Turla subraya el imperativo de que las organizaciones y los gobiernos mantengan la vigilancia. Esto implica mantenerse al tanto de los acontecimientos, intercambiar inteligencia e implementar medidas de seguridad sólidas. Estas medidas proactivas permiten tanto a grupos como a individuos reforzar sus defensas contra las amenazas que plantean dichos actores.
