國家級APT組織 :Turla(APT-Q-78)
國家級APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團伙,專注于針對特定目標進行長期的持續性網絡攻擊。
奇安信旗下高級威脅研究團隊紅雨滴(RedDrip Team)每年會發布全球APT年報、中報,對當年各大APT團伙的活動進行分析總結。
虎符智庫特約奇安信集團旗下紅雨滴團隊,開設“起底國家級APT組織”欄目,逐個起底全球各地區活躍的主要APT組織。本期鎖定奇安信紅雨滴團隊重點監控的APT組織 Turla。
02 Turla
Turla是專門針對政府的著名國家級黑客團伙,屬于東歐某國情報機構。其攻擊活動涉及45個國家,主要針對外交部門、政府機構、軍事機構、科研機構等組織竊取重要情報。
Turla被視為迄今為止最為高級的威脅組織之一,因而是奇安信紅雨滴團隊重點監控的APT組織。
背景
Turla,也被稱為Venomous Bear、Waterbug Uroboros,是迄今為止最為高級的威脅組織之一,被認為隸屬于東歐某國情報機構。該組織最早可以溯源到1996年,但在2014年才被卡巴斯基實驗室首次發現。
Turla是奇安信紅雨滴團隊重點監控的APT組織,內部編號為APT-Q-78。
Turla發動的攻擊活動涉及45個國家,主要針對外交部門、政府機構、軍事機構、科研機構等組織竊取重要情報,目前已知受害單位包括美國中央司令部、德國外交部、法國軍隊、瑞士軍工企業RUAG等。此外Turla還會針對俄羅斯境內存在腐敗嫌疑的目標進行攻擊。
攻擊特點手段、工具
Turla使用的后門及工具種類繁多且難以追蹤。常見攻擊方式包括魚叉攻擊、Web滲透入侵、網絡劫持、水坑攻擊、U盤社交攻擊等。
(一)攻擊工具
Turla在歷史攻擊活動中使用工具包括數據收集和shell執行功能的后門、具有遠控和監控功能的組件以及開源工具等。
Turla使用的后門及工具種類繁多且難以追蹤,不僅擁有豐富的軍火庫還擁有大量開發人員,能夠及時進行技術更新。
其使用工具有以下特點:
1. Turla發起的網絡間諜活動主要針對 Windows 平臺,使用的惡意軟件較為復雜,能夠開發多語言環境的自研特馬和開源木馬,其中部分特馬更新迭代至今仍被使用。
2. Turla 組織在持久化設計部分使用多種方式,如將Powershell的攻擊核心載荷儲于 Windows 注冊表項中、注冊自啟服務實現持久化等方式,體現了Turla工具開發人員的設計偏好。
3. 為了保證落地攻擊載荷適配多種 PC 環境使其穩定運行,Turla組織的攻擊組件中大多存在環境適配、工具探測、安全機制繞過等相關的代碼。
4. Turla 入侵后載荷在運行控制以及隱匿性設置方面均存在明顯指紋特征,善于文件隱藏、控制木馬運行頻率、利用RPC 集群監聽等。
5. Turla攻擊組件中在加密算法的選擇或編寫、密鑰生成等方面表現的十分個性化,不使用常見的傳統加密算法,具有自己獨特的加密風格。
下表按照攻擊階段將其使用后門進行介紹,包括自研特馬和開源木馬 。
(二)攻擊方式
Turla組織常見攻擊方式包括魚叉攻擊、Web滲透入侵、網絡劫持、水坑攻擊、U盤社交攻擊等。
Turla初始攻擊善于使用社會工程學手段的魚叉攻擊以及水坑攻擊來投遞攻擊載荷,利用后門后收集PC數據決定是否進行下一階段攻擊。后續會配合攻擊者遠程交互進行局域網內橫移滲透,通過管道協議的 RPC 通信進行局域網段監聽。
1. 魚叉攻擊
Turla擅長使用夾帶惡意程序以及漏洞的文件通過電子郵件進行投遞,并通過社會工程學誘導用戶點擊執行文件。魚叉攻擊載荷通常為漏洞文件、宏文件、偽裝安裝包。
2. 水坑攻擊
Turla偏愛使用水坑攻擊,引誘目標受害者訪問其C2服務器,主要分為誘餌釣魚以及漏洞攻擊,其中大部分用于制造水坑的網站均是合法網站。早期Turla喜好在網站中嵌入JavaScript代碼,在用戶訪問的時候執行,其功能大多為獲取瀏覽器的插件列表,屏幕分辨率等信息。近期,Turla的攻擊方式更為直接,在進行指紋識別后下發惡意的Adobe Flash安裝包。
3. 數字衛星電視系統劫持
自2007年以來,Turla利用衛星通信中固有的安全缺陷,隱藏C2服務器的位置和控制中心。該組織傾向于選擇使用僅覆蓋非洲地區的衛星提供商。這使得非洲以外國家的研究人員極其難以調查Turla小組的活動,其中衛星IP集中在非洲和中東地區。
4. MITM流量劫持與篡改
Turla在幾次行動中,都會通過獲取核心路由的權限甚至劫持關鍵節點,并通過MITM(中間人攻擊)來劫持Adobe的網絡。使得用戶在請求下載最新的軟件更新包時,替換用戶的下載內容,在用戶無感的情況下,下載惡意軟件,并完成對目標主機的控制。此種方式需要獲取核心路由的權限,甚至需要針對企業/政府的關鍵節點進行劫持。
知名攻擊事件
(一)Moonlight Maze活動
Moonlight Maze是90年代美國遭受的一次網絡攻擊活動。該活動最終指向俄羅斯政府,一臺位于莫斯科的計算機連接了相關大學的機器并將其作為跳板攻擊賴特-帕特森空軍基地。該活動在接近20年后,被關聯到Turla組織。2017年,卡巴斯基在一臺古老的機器中發現了Moonlight Maze木馬,該木馬與Turla組織的Linux后門Penquin一樣,基于LOKI2后門進行開發。也是唯一一個使用LOKI2后門進行開發的APT組織。
(二)Agent.BTZ活動
2008年,在中東美國軍事基地的停車場,有美國軍人撿到感染了Agent.BTZ 的U盤,并插入連接到美國中央司令部的筆記本電腦中。蠕蟲病毒從那里傳播到美國五角大樓總部系統。最后花了將近14個月的時間才從軍事網絡上清除了蠕蟲。后續研究發現,Turla組織的木馬與Agent.BTZ在代碼和的行為上存在關聯。因此,此次攻擊活動被歸到Turla,被認為是史上最著名的攻擊活動之一。
(三)Red October活動
2007年到2013年期間,Red October惡意軟件采取釣魚式攻擊模式,攻擊了39個國家的外交使館、政府和科研機構。卡巴斯基分析報告稱,Red October幕后運營者多用俄語為代碼,并且攻擊活動中會獲取Agent.BTZ木馬所釋放的thumb.dd文件, 因此歸因至Turla組織。
(四)SolarWinds攻擊活動
2020年12月13日,FireEye發布了關于SolarWinds供應鏈攻擊的通告,基礎網絡管理軟件供應商SolarWinds Orion 軟件更新包中被黑客植入后門。本次供應鏈攻擊事件波及范圍極大,包括政府部門,關鍵基礎設施以及多家全球500強企業,造成的嚴重影響。隨后,美調查機構發布聯合聲明稱網絡攻擊可能源自俄羅斯。2021年1月,卡巴斯基發布報告稱【6】,SolarWinds供應鏈攻擊事件中的Sunburst后門代碼與俄羅斯APT組織常用木馬Kazuar后門存在代碼重疊,證實了美國的結論,因此SolarWinds供應鏈事件可能來自Turla。
總結
Turla背后有著強大的政府資源,能夠為其提供豐富的網絡武器和人力支持。這一切導致Turla的攻擊過程繁瑣,活動軌跡隱蔽性,難以追蹤。
從攻擊目標和攻擊事件來看,該組織主要圍繞著政治、外交和軍情三方面進行攻擊;同時,善于對攻擊手段進行創新開發,整體而言屬于APT組織中的領先者和創新者。
