Nhóm tin tặc do nhà nước Nga bảo trợ với tên gọi Turla đã biến đổi backdoor Kazuar tùy chỉnh của mình thành một botnet ngang hàng (P2P) dạng module, được thiết kế nhằm mục đích tàng hình và duy trì quyền truy cập bền bỉ vào các máy chủ bị xâm nhập.
Theo Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA), Turla được đánh giá là có liên kết với Trung tâm 16 của Cơ quan An ninh Liên bang Nga (FSB). Nhóm này còn được cộng đồng an ninh mạng biết đến qua các tên gọi khác như ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (trước đây là Krypton), Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug và WRAITH.
Nhóm tin tặc này nổi tiếng với các cuộc tấn công nhắm vào các lĩnh vực chính phủ, ngoại giao và quốc phòng ở Châu Âu và Trung Á, cũng như các điểm cuối đã bị xâm nhập trước đó bởi Aqua Blizzard (còn gọi là Actinium và Gamaredon) nhằm hỗ trợ các mục tiêu chiến lược của Điện Kremlin.
"Bản nâng cấp này phù hợp với mục tiêu rộng lớn hơn của Secret Blizzard là giành quyền truy cập lâu dài vào các hệ thống để thu thập tình báo," nhóm Microsoft Threat Intelligence cho biết trong một báo cáo công bố hôm thứ Năm. "Trong khi nhiều tác nhân đe dọa dựa vào việc tăng cường sử dụng các công cụ bản địa (living-off-the-land binaries (LOLBins)) để tránh bị phát hiện, sự tiến hóa của Kazuar thành một bot module cho thấy cách Secret Blizzard đang thiết kế khả năng phục hồi và tính tàng hình trực tiếp vào các công cụ của họ."
Một công cụ quan trọng trong kho vũ khí của Turla là Kazuar, một backdoor .NET tinh vi đã được sử dụng liên tục từ năm 2017. Những phát hiện mới nhất từ Microsoft phác thảo quá trình phát triển của nó từ một khung "đơn khối" (monolithic) thành một hệ sinh thái bot dạng module bao gồm ba loại thành phần riêng biệt, mỗi loại có vai trò được xác định rõ ràng. Những thay đổi này cho phép cấu hình linh hoạt, giảm dấu vết có thể quan sát được và tạo điều kiện cho việc thực hiện đa dạng các nhiệm vụ.
Các cuộc tấn công phát tán mã độc này đã được phát hiện là dựa vào các droppers như Pelmeni và ShadowLoader để giải mã và khởi chạy các module. Ba loại module tạo nên nền tảng cho kiến trúc của Kazuar bao gồm:
- Kernel: đóng vai trò là bộ điều phối trung tâm cho botnet bằng cách ban hành các nhiệm vụ cho các module Worker, quản lý liên lạc với module Bridge, duy trì nhật ký hành động và dữ liệu thu thập được, thực hiện kiểm tra chống phân tích và sandbox, đồng thời thiết lập môi trường thông qua cấu hình quy định các tham số liên quan đến liên lạc C2, thời gian trích xuất dữ liệu, quản lý nhiệm vụ, quét và thu thập tệp, và giám sát.
- Bridge: đóng vai trò như một proxy giữa module Kernel dẫn đầu và máy chủ C2.
- Worker: ghi lại phím nhấn (keystrokes), móc nối (hook) các sự kiện Windows, theo dõi nhiệm vụ và thu thập thông tin hệ thống, danh sách tệp và chi tiết Giao diện lập trình ứng dụng nhắn tin (MAPI).
Loại module Kernel cung cấp ba cơ chế giao tiếp nội bộ (thông qua Windows Messaging, Mailslot và named pipes) và ba phương thức khác nhau để liên lạc với hạ tầng do kẻ tấn công kiểm soát (thông qua Exchange Web Services, HTTP và WebSockets). Thành phần này cũng "bầu chọn" một Kernel dẫn đầu duy nhất để liên lạc với module Bridge thay mặt cho các module Kernel khác.
Microsoft giải thích: "Các cuộc bầu chọn diễn ra qua Mailslot, và thủ lĩnh được chọn dựa trên khối lượng công việc (thời gian module Kernel đã chạy) chia cho các lần gián đoạn (khởi động lại, đăng xuất, tiến trình bị chấm dứt). Khi một thủ lĩnh được chọn, nó sẽ tự thông báo là leader và yêu cầu tất cả các module Kernel khác chuyển sang chế độ SILENT. Chỉ có Kernel leader được chọn là không ở chế độ SILENT, cho phép module này ghi nhật ký hoạt động và yêu cầu nhiệm vụ thông qua module Bridge."
Một chức năng khác của module là khởi tạo các luồng khác nhau để thiết lập kênh named pipe giữa các module Kernel nhằm liên lạc nội bộ, chỉ định phương thức liên lạc bên ngoài, cũng như tạo điều kiện liên lạc Kernel-to-Worker và Kernel-to-Bridge qua Windows messaging hoặc Mailslot.
Mục tiêu cuối cùng của Kernel là thăm dò các nhiệm vụ mới từ máy chủ C2, phân tích các tin nhắn đến, gán nhiệm vụ cho Worker, cập nhật cấu hình và gửi kết quả của các nhiệm vụ trở lại máy chủ. Hơn nữa, module này tích hợp một trình xử lý nhiệm vụ cho phép xử lý các lệnh do Kernel leader ban hành.
Dữ liệu được thu thập bởi module Worker sau đó sẽ được tổng hợp, mã hóa và ghi vào thư mục làm việc của mã độc, từ đó nó được trích xuất về máy chủ C2.
"Kazuar sử dụng một thư mục làm việc riêng biệt như một khu vực lưu trữ tạm thời tập trung trên đĩa để hỗ trợ các hoạt động nội bộ của nó giữa các module," Microsoft cho biết. "Thư mục này được xác định thông qua cấu hình và được tham chiếu nhất quán bằng các đường dẫn đầy đủ (fully qualified paths) để tránh sự mơ hồ giữa các ngữ cảnh thực thi khác nhau."
"Trong thư mục làm việc, Kazuar tổ chức dữ liệu theo chức năng, tách biệt việc giao nhiệm vụ, đầu ra thu thập, nhật ký và tài liệu cấu hình vào các vị trí riêng biệt. Thiết kế này cho phép mã độc tách biệt việc thực thi nhiệm vụ khỏi việc lưu trữ và trích xuất dữ liệu, duy trì trạng thái hoạt động qua các lần khởi động lại và điều phối hoạt động bất đồng bộ giữa các module trong khi giảm thiểu tương tác trực tiếp với hạ tầng bên ngoài."
