02
Turla
Turla是专门针对政府的著名国家级黑客团伙,属于东欧某国情报机构。其攻击活动涉及45个国家,主要针对外交部门、政府机构、军事机构、科研机构等组织窃取重要情报。
Turla被视为迄今为止最为高级的威胁组织之一,因而是奇安信红雨滴团队重点监控的APT组织。
背景
Turla发动的攻击活动涉及45个国家,主要针对外交部门、政府机构、军事机构、科研机构等组织窃取重要情报,目前已知受害单位包括美国中央司令部、德国外交部、法国军队、瑞士军工企业RUAG等。此外Turla还会针对俄罗斯境内存在腐败嫌疑的目标进行攻击。
攻击特点手段、工具
Turla使用的后门及工具种类繁多且难以追踪。常见攻击方式包括鱼叉攻击、Web渗透入侵、网络劫持、水坑攻击、U盘社交攻击等。
(一)攻击工具
其使用工具有以下特点:
-
Turla发起的网络间谍活动主要针对 Windows 平台,使用的恶意软件较为复杂,能够开发多语言环境的自研特马和开源木马,其中部分特马更新迭代至今仍被使用。
-
Turla 组织在持久化设计部分使用多种方式,如将Powershell的攻击核心载荷储于 Windows 注册表项中、注册自启服务实现持久化等方式,体现了Turla工具开发人员的设计偏好。
-
为了保证落地攻击载荷适配多种 PC 环境使其稳定运行,Turla组织的攻击组件中大多存在环境适配、工具探测、安全机制绕过等相关的代码。
-
Turla 入侵后载荷在运行控制以及隐匿性设置方面均存在明显指纹特征,善于文件隐藏、控制木马运行频率、利用RPC 集群监听等。
-
Turla攻击组件中在加密算法的选择或编写、密钥生成等方面表现的十分个性化,不使用常见的传统加密算法,具有自己独特的加密风格。
下表按照攻击阶段将其使用后门进行介绍,包括自研特马和开源木马 。
(二)攻击方式
1. 鱼叉攻击
2. 水坑攻击
3. 数字卫星电视系统劫持
4. MITM流量劫持与篡改
Turla在几次行动中,都会通过获取核心路由的权限甚至劫持关键节点,并通过MITM(中间人攻击)来劫持Adobe的网络。使得用户在请求下载最新的软件更新包时,替换用户的下载内容,在用户无感的情况下,下载恶意软件,并完成对目标主机的控制。此种方式需要获取核心路由的权限,甚至需要针对企业/政府的关键节点进行劫持。
知名攻击事件
(一)Moonlight Maze活动
Moonlight Maze[2]是90年代美国遭受的一次网络攻击活动。该活动最终指向俄罗斯政府,一台位于莫斯科的计算机连接了相关大学的机器并将其作为跳板攻击赖特-帕特森空军基地。该活动在接近20年后,被关联到Turla组织。2017年,卡巴斯基在一台古老的机器中发现了Moonlight Maze木马,该木马与Turla组织的Linux后门Penquin一样,基于LOKI2后门进行开发。也是唯一一个使用LOKI2后门进行开发的APT组织。
(二)Agent.BTZ活动[3]
2008年,在中东美国军事基地的停车场,有美国军人捡到感染了Agent.BTZ 的U盘,并插入连接到美国中央司令部的笔记本电脑中。蠕虫病毒从那里传播到美国五角大楼总部系统。最后花了将近14个月的时间才从军事网络上清除了蠕虫。后续研究发现,Turla组织的木马与Agent.BTZ在代码和的行为上存在关联。因此,此次攻击活动被归到Turla,被认为是史上最著名的攻击活动之一。
(三)Red October活动
2007年到2013年期间,Red October[4]恶意软件采取钓鱼式攻击模式,攻击了39个国家的外交使馆、政府和科研机构。卡巴斯基分析报告称,Red October幕后运营者多用俄语为代码,并且攻击活动中会获取Agent.BTZ木马所释放的thumb.dd文件, 因此归因至Turla组织。
(四)SolarWinds攻击活动
2020年12月13日,FireEye发布了关于SolarWinds[5]供应链攻击的通告,基础网络管理软件供应商SolarWinds Orion 软件更新包中被黑客植入后门。本次供应链攻击事件波及范围极大,包括政府部门,关键基础设施以及多家全球500强企业,造成的严重影响。随后,美调查机构发布联合声明称网络攻击可能源自俄罗斯。2021年1月,卡巴斯基发布报告称[6],SolarWinds供应链攻击事件中的Sunburst后门代码与俄罗斯APT组织常用木马Kazuar后门存在代码重叠,证实了美国的结论,因此SolarWinds供应链事件可能来自Turla。
总结
从攻击目标和攻击事件来看,该组织主要围绕着政治、外交和军情三方面进行攻击;同时,善于对攻击手段进行创新开发,整体而言属于APT组织中的领先者和创新者。
注解
-
https://ti.qianxin.com/uploads/2021/02/08/dd941ecf98c7cb9bf0111a8416131aa1.pdf
-
https://www.kaspersky.com/blog/moonlight-maze-the-lessons/6713/
-
https://securelist.com/agent-btz-a-source-of-inspiration/58551/
-
https://www.kaspersky.com/about/press-releases/2013_kaspersky-lab-identifies-operation--red-october--an-advanced-cyber-espionage-campaign-targeting-diplomatic-and-government-institutions-worldwide
-
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
-
https://usa.kaspersky.com/about/press-releases/2020_na-kaspersky-experts-connect-solar-winds-attack-with-kazuar-backdoor
关于作者
奇安信集团红雨滴团队(RedDrip Team,@RedDrip7),依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,自2015年持续发现多个包括海莲花在内的APT组织在中国境内的长期活动,并发布国内首个组织层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河。截至目前,持续跟踪分析的主要APT团伙超过46个,独立发现APT组织13个,持续发布APT组织的跟踪报告超过90篇,定期输出半年和全年全球APT活动综合性分析报告。
超级用户在操作系统管理中的作用 1. 可以对任何文件、目录或进程进行操作 超级用户的操作是在系统最高许可范围内的操作,有些操作就是具有超级权限的root也无法完成。比如/proc目录,/proc是用来反应系统运行的实时状态信息的,因此即便是root也无法对其进…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论