TinyTurla új generáció
A Cisco Talos egy új hátsó ajtót azonosított, amelyet a Turla APT csoport, egy orosz kiberkémkedési fenyegető csoport írt és működtet. Ez az új backdoor, amelyet “TinyTurla-NG”-nek (TTNG) nevezünk el, kódolási stílusában és funkcionalitásának megvalósításában hasonlít a Turla korábban nyilvánosságra hozott implantátumához, a TinyTurlához.
A Talos nagy valószínűséggel úgy értékeli, hogy a TinyTurla-NG a TinyTurlához hasonlóan egy backdoor, amelyet akkor hagynak hátra, amikor minden más jogosulatlan hozzáférési/backdoor-mechanizmus kudarcot vallott vagy a fertőzött rendszereken észlelték.
A TinyTurla-NG-t már 2023 decemberében észlelték egy lengyel civil szervezet (NGO) ellen, amely a lengyel demokrácia javításán és Ukrajna támogatásán dolgozik az orosz invázió idején.
A Cisco Talos korábban ismeretlen PowerShell szkripteket is azonosított, amelyeket TurlaPower-NG-nek neveztek, és amelyeknek az a rendeltetése, hogy fájl exfiltrátorokként működjenek. A TinyTurla-NG ezeket a szkripteket a népszerű jelszókezelő szoftverek jelszóadatbázisainak biztosításához használt kulcsanyagok kiszivárogtatására használta, ami arra utal, hogy a Turla összehangoltan igyekezett ellopni a bejelentkezési adatokat.
A Talos a CERT.NGO-val együttműködve a Turla fenyegető szereplő egy újabb kompromittálódását vizsgálta, egy új, a TinyTurlához nagyon hasonló backdoorral, amelyet TinyTurla-NG-nek (TTNG) neveztek. Eredményeik szerint lengyel nem kormányzati szervezetek (NGO-k) aktív célpontjai, és legalább az egyikük Ukrajnát támogatja. Bár a nem kormányzati szervezetek nem vesznek részt közvetlenül a konfliktusokban, gyakran részt vesznek a konfliktusok során szenvedő entitások segélyezésében. Az agresszor felek stratégiailag előnyösnek tarthatják az ilyen nem kormányzati szervezetek megfigyelését, hogy nyomon követhessék az áldozataiknak nyújtott folyamatban lévő és potenciálisan új segélycsomagokat.
A Turla széles körben ismert arról, hogy a támadó eszközök hatalmas készletét használva olyan földrajzi területeken, mint az Egyesült Államok, az Európai Unió, Ukrajna és Ázsia, világszerte célpontokat vesz célba. Korábban olyan rosszindulatú szoftvercsaládokat használtak, mint a CAPIBAR és a KAZUAR az ukrán védelmi erők ellen. A Crutch és a TinyTurla után a Turla most a TinyTurla-NG és a TurlaPower-NG kártevőcsaládokkal bővítette arzenálját, miközben a célpontok körét a civil szervezetekre is kiterjesztette. Ez a tevékenység jelzi az ellenfél azon szándékát, hogy mind a rosszindulatú szoftverek csomagját, mind pedig a célpontok körét kiterjessze Oroszország stratégiai és politikai céljainak támogatására.