Turla puerta trasera

Turla APT (Advanced Persistent Threat) es un infame grupo de piratería ruso, que ha estado operando durante más de una década. También se les llama Uroburos APT o Snake APT. Son conocidos por tener un gusto por las víctimas de alto nivel. Se informó que la APT Turla se había infiltrado en el Colegio Federal de Administración Pública de Alemania y luego, a través de él, logró comprometer al Ministerio Federal de Relaciones Exteriores del país. Además, esta no fue una penetración única; Se ha revelado que el Turla APT pasó desapercibido por las autoridades alemanas durante casi todo 2017. Durante este tiempo, el grupo de piratas informáticos extrajo y recopiló datos del gobierno. Esta impresionante operación se llevó a cabo con una herramienta de APT llamada Turla Backdoor.

Tres países europeos han informado de ataques de este grupo de piratas informáticos ruso. Los objetivos volvieron a ser sus oficinas exteriores. Es seguro asumir que Turla APT está fuertemente involucrado en el espionaje ya que sus principales objetivos siempre han sido diplomáticos, autoridades militares y estatales y políticos. Se sospecha que la APT Turla puede estar vinculada al gobierno ruso, pero esta información aún no se ha confirmado.

Se cree que la puerta trasera de Turla APT se originó en 2009. Sin embargo, el grupo de piratería no ha estado inactivo a lo largo de los años y ha introducido muchas mejoras en su puerta trasera, como la capacidad de la amenaza para recibir comandos a través de un archivo PDF adjunto a un correo electrónico. , que se introdujo en 2016. En 2018 se agregó una nueva función a la puerta trasera de Turla APT: se actualizó con la capacidad de ejecutar comandos de PowerShell en el host infectado.

Esta versión más reciente de esta puerta trasera está equipada con la capacidad de infiltrarse en Microsoft Outlook. Curiosamente, Turla APT no utiliza una vulnerabilidad en la aplicación, sino que manipula la MAPI (Interfaz de programación de aplicaciones de mensajería) legítima de Microsoft Outlook y, a través de ella, obtiene acceso a los mensajes directos de sus objetivos previstos. A diferencia de la mayoría de las puertas traseras, que generalmente reciben comandos a través de un servidor de comando y control de los perpetradores, la puerta trasera Turla se controla a través de correos electrónicos especialmente diseñados gracias a la mejora que introdujo Turla APT en 2016. La puerta trasera Turla puede ejecutar muchos comandos, entre ellos que recopilan datos y descargan y ejecutan varios archivos. Esta puerta trasera no es demasiado exigente cuando se trata de dónde se coloca: la puerta trasera Turla tiene la forma de un módulo DLL (biblioteca de vínculos dinámicos) y puede ejecutarse desde cualquier lugar dentro del disco duro. Además, Turla APT emplea una utilidad de Windows (RegSvr32.exe) para instalar su puerta trasera en el sistema de destino.

Por supuesto, como toda amenaza altamente eficiente de este calibre, el Turla Backdoor también está equipado con una gran persistencia. Para minimizar las posibilidades de ser detectado, Turla Backdoor no realizará sus "funciones" todo el tiempo. En su lugar, utiliza una conocida vulnerabilidad de Windows con respecto al Modelo de objetos componentes (COM). Al aprovechar esta vulnerabilidad, la puerta trasera puede inyectar sus instancias en el proceso legítimo 'outlook.exe', eliminando así la necesidad de utilizar una DLL. inyección: un vector de ataque que los productos antivirus detectan con facilidad.

Al infiltrarse en Microsoft Outlook, Turla Backdoor puede recopilar los metadatos sobre la actividad de mensajería de la víctima: asunto del correo electrónico, nombre del archivo adjunto, remitentes y destinatarios. Turla Backdoor recopila y almacena estos datos y los transfiere periódicamente a los servidores del atacante. Una amenaza como Turla Backdoor podría causar mucho daño, especialmente si los atacantes logran infectar un sistema utilizado para almacenar datos confidenciales o comunicaciones y es evidente que Turla APT apunta exactamente a estos usuarios.

Además del robo de datos, se puede ordenar al malware que descargue archivos adicionales o ejecute scripts de PowerShell corruptos. En conclusión, Turla Backdoor es una amenaza que se acerca a un rootkit en su funcionalidad.