Vhled bezpečnostních analytiků společnosti ESET do aktivit skupiny Turla nabízí vysvětlení unikátního malwaru, který zneužívá zranitelnosti PDF dokumentů v přílohách e-mailu.
Malware typu backdoor od skupiny kyberútočníků známé jako Turla, který je objektem naší analýzy, urazil od doby prvního výskytu v roce 2009 velký kus cesty. V průběhu let přidali do nástroje autoři různé funkce, které značným způsobem zvýšili schopnost maskování škodlivé činnosti a tím i odolnosti tohoto malwaru proti odhalení. Poslední objevená verze z dubna 2018 dokáže spouštět škodlivé PowerShell skripty v paměti počítače, což je v posledních pár letech oblíbená taktika tvůrců škodlivého kódu.
Poslední iterace tohoto backdooru cílí na Microsoft Outlook, ačkoli starší verze měly za cíl také poštovního klienta The Bat!, který se používá převážně v zemích východní Evropy. Důležité je, že operátoři se nesnaží zneužít žádnou ze standardních zranitelností ve čtečkách souborů PDF nebo Microsoft Outlooku. K přístupu do poštovních schránek zneužívají legitimní rozhraní MAPI Microsoft Outlooku.
Místo tradičního modelu vzdálené komunikace s řídícími servery založené na HTTPS, spravuje operátor backdoor pomocí e-mailových zpráv. Lépe řečeno, pomocí speciálně upravených PDF souborů v e-mailových přílohách, které obsahují příkazy k provedení různých činností. Od odesílání dat, přes stažení dalších souboru a spuštění dalších programů a příkazů. Odesílání dat také probíhá přes PDF soubory.
Backdoor má podobu DLL modulu, který lze umístit kamkoli na pevný disk. Instalace probíhá použitím legální utility RegSvr32.exe. Odolnost hrozby je založena na narušení registrů operačního systému Windows, což je velmi častý případ při infikování Windows systémů. Turla se drží vyzkoušené a otestované techniky známé jako „COM object hijacking“, která zajišťuje aktivitu backdooru při každém spuštění Microsoft Outlooku.
Kdykoli oběť obdrží nebo odešle e-mailovou zprávu, vygeneruje backdoor protokol, který obsahuje metadata o zprávě, včetně informací o odesílateli, předmětu a názvu přílohy. Protokoly, společně s ostatními daty, se v pravidelných intervalech odesílají operátorům Turla pomocí speciálně vytvořených PDF dokumentů v příloze e-mailu.
Každý příchozí e-mail navíc backdoor kontroluje na přítomnost PDF souboru, který by mohl obsahovat příkazy od útočníka. Fakticky je tak backdoor nezávislý na operátorovi, protože příkazy může vytvořit každý, kdo je dokáže nakódovat do PDF dokumentu. Operátoři mohou ovládat backdoor odesláním příkazu z libovolné e-mailové adresy, což je výhodné v případech odhalení a blokace některé z používaných adres. Ukončit činnost backdooru je téměř stejně složité jako v případě rootkitů, které sledují příchozí síťovou komunikaci a čekají na příkazy od útočníků.
I když se výzkumníkům ESETu nepodařilo získat žádný vzorek PDF souboru, který by příkazy obsahoval, podařilo se jim díky detailní analýze hrozby vygenerovat ukázkový PDF soubor s příkazy (obrázek 2), který backdoor dokáže přijmout a provést.
Všechny e-mailové zprávy se ve stejném čase kromě legitimních příjemců odesílají také operátorům hrozby. Tím se značně snižuje riziko odhalení, jelikož k činnosti backdooru dochází pouze během standardní pracovní doby oběti.
Malware jde v maskování své činnosti do velkého detailu. Například, pokud je to možné, a teď tu logiku úplně nechápu, proč by se u útočníka nemohl objevit e-mail v mailboxuJ? Asi jde o e-maily, které vyžadují potvrzení o přečtení, a pak by tam mělo u oběti naskakovat upozornění o „nějaké“ nepřečtené zprávě, což je nežádoucí, ale to ověř u MD. Podobně malware blokuje jakékoli upozornění na příchozí e-mail od útočníka.
