Apt Turla cambia de forma con nuevo codigo y nuevos objetivos
Anderson Albuquerque se declaró culpable de dos cargos de fraude informático por causar daño a una computadora protegida con una posible sentencia máxima de 10 años.
Las actividades extensas del grupo Turla APT se han diversificado este año, representando una mezcla de código antiguo, código nuevo y nuevos objetivos. Quizás lo más interesante es que este sofisticado grupo se está bifurcando en el uso de scripts y código de código abierto en su desarrollo de malware, una marcada salida para un APT más conocido por implementar un rootkit complejo llamado Snake, tradicionalmente centrado en objetivos relacionados con la OTAN.
Turla de habla rusa (también conocida como Snake, Venomous Bear, Waterbug y Uroboros) es conocida por sus campañas de espías dirigidas a los gobiernos occidentales, así como a las embajadas y consulados en los estados postsoviéticos. Ha estado activo desde al menos 2014 (y posiblemente antes ) desarrollando una gama de puertas traseras personalizadas para llevar a cabo su trabajo. Evoluciona continuamente tanto en términos de malware como de objetivos.
"Turla es altamente capaz, cuenta con muchos recursos y regresan por años", explicó Kurt Baumgartner, investigador del equipo de investigación de amenazas de Kaspersky Lab, que habló en Virus Bulletin 2018 en Montreal el jueves. “Turla es tan grande, y tienen muchas, muchas cosas diferentes sucediendo a la vez. Y si nos fijamos en otra investigación, también es claramente más grande que nuestra visibilidad en ella ".
Los desarrollos notables para el grupo observado por los investigadores de Kaspersky Lab en 2018 incluyen nuevas versiones de Carbon, que es un malware que se remonta a 2014; una versión modificada de su malware Mosquito; y una continua evolución de sus binarios IcedCoffee y KopiLuwak.
En cuanto a Carbon, Baumgartner dijo que en 2018 recibió un nuevo orquestador y otras actualizaciones, y que se ha desplegado de manera confiable contra organizaciones relacionadas con el gobierno y asuntos exteriores en Asia Central durante todo el año, un patrón de ataque que espera que continúe el próximo año.
"The Carbon framework une el antiguo, elegante y funcional código de base a veces llamado 'Snake lite' con esfuerzos continuos para monitorear selectivamente objetivos de alto valor", dijeron los investigadores de Kaspersky Lab en una publicación de su última investigación de Turla, publicada el jueves en tándem con la charla de Virus Bulletin. "Parece que la puerta trasera se empuja con meterpreter ahora. Y, como vemos las modificaciones de código y la implementación en 2018, predecimos más trabajo de desarrollo en este código base maduro junto con la implementación selectiva para continuar en 2019 ".
El equipo también ha visto una versión modificada de Mosquito dando vueltas en los últimos meses, ahora con herramientas de código abierto incluidas en el proyecto Metasploit. Según la investigación, Turla está utilizando Mosquito para apuntar a objetivos gubernamentales relacionados con asuntos extranjeros en Europa, Oriente Medio, América Latina y el sudeste asiático.
"El mosquito se centra en las organizaciones diplomáticas y gubernamentales, y es muy consistente con ese perfil", dijo Baumgartner. "Es menos restrictivo en su geografía".
Añadió que otro aspecto interesante de Mosquito es su entrega mediante ataques de hombre en el medio (MiTM), que se vieron el año pasado: "Los instaladores que hemos visto apoyan la hipótesis de que, con toda probabilidad, hay WiFi. Las técnicas de MiTM están en marcha ".
La telemetría de Kaspersky Lab muestra que las sesiones de descarga con el sitio web de Adobe fueron interceptadas e inyectadas para entregar a los instaladores troyanos Mosquito, lo que demostró el robo constante de credenciales WiFi.
"Mientras tanto, las técnicas de inyección y administración están experimentando cambios en 2018 con cargadores reflectivos y mejoras de código", según la investigación. "Esperamos ver más actividad de Mosquito en 2019."
En 2018, los proyectos Turla's Mosquito y Carbon se enfocaron principalmente en objetivos diplomáticos y de asuntos exteriores, aunque la APT también se enfocó en centros científicos y técnicos, y organizaciones fuera de la arena política también fueron objeto de atención.
Mientras tanto, un par de puertas traseras de JavaScript relacionadas, IcedCoffee (que simplemente descarga otro malware y no tiene muchas funciones) y KopiLuwak (un agente más robusto), también han prevalecido en la escena Turla.
KopiLuwak se vio a principios de este verano apuntando a dos objetivos: uno en el campo científico y energético, y otro relacionado con los gobiernos de Siria y Afganistán, que muestra que la actividad KopiLuwak de Turla no se enfoca necesariamente en asuntos diplomáticos / exteriores. "En cambio, la actividad de 2018 estuvo dirigida a organizaciones de investigación científica y energética relacionadas con el gobierno, y una organización de comunicaciones relacionada con el gobierno en Afganistán", dijeron los investigadores. "Es muy probable que este conjunto de objetivos altamente selectivo pero más amplio continúe en 2019."
El investigador de Kaspersky Lab, Mike Scott, también marcó una superposición de códigos KopiLuwak / Zebrocy. Zebrocy es un malware utilizado por un grupo de amenazas diferente, observado este verano.
"La tercera capa en el código es exactamente la misma entre las dos", dijo, hablando en Virus Bulletin. “Eso indica que la misma herramienta o generador los está construyendo. No pude encontrar ninguna otra muestra que coincida con estas, así que están atadas. Si un grupo vio el código y lo tomó, o si están colaborando, tal vez hablándolo sobre cervezas o lo que sea, quién sabe ”.
Tomando los hallazgos juntos, los investigadores creen que el grupo Turla está adquiriendo una nueva forma general, especialmente en lo que respecta al uso de código ya hecho.
“Hay un cambio decidido de Turla hacia un mayor uso de herramientas de código abierto en su malware”, dijo Baumgartner. “Esto es una sorpresa de Turla. Utilizaron un kit de raíz increíblemente complejo durante años, para atacar objetivos interesantes y de alto perfil, y ahora se están moviendo a scripts y código abierto. Tampoco han estado utilizando muchos días cero, de hecho, no ha habido ninguno en 2018. No hemos visto rootkits ni agua estancada. Entonces, algo está cambiando y cambiando con este grupo ".
Curiosamente, Turla no ha sido parte de los esfuerzos de piratería en Rusia comúnmente atribuidos a APT 28 / Sofacy, ni es parte de una serie de otras actividades bien conocidas relacionadas con grupos de habla rusa.
En cambio, "Turla [es] silenciosamente activa en todo el mundo en otros proyectos", según la investigación. "Es interesante que los datos relacionados con estas organizaciones [como el DNC] no se hayan armado y encontrado en línea, mientras que esta actividad de Turla continúa silenciosamente".