Andromeda, çeşitli işlevleri yerine getiren bir truva atıdır; en önemlisi, kurbanları gözetlemek veya onlardan veri çalmak için kullanılan diğer kötü amaçlı yazılımları indirmektir. Modüler bir bot olarak, istenirse yetenekleri de genişletilebilir. 2017’de tutuklanan Beyaz Rusya vatandaşı tarafından yönetildiği iddia edilen Andromeda botnet’ine bağlandı.
Bir zamanlar vahşi doğada görülen en yaygın kötü amaçlı yazılımlardan biri olmasına rağmen, özellikle 2021’de, Birleşik Krallık hükümetinin planının bir parçası olarak savunmasız çocuklara verilen yenilenmiş dizüstü bilgisayarların sabit disklerinde gizlendiği zaman, zaman zaman ortaya çıkmaya devam ediyor.
Mandiant, Turla’nın 2010’larda Andromeda’yı dağıtmak için mali amaçlı tehdit grupları tarafından kullanılan süresi dolmuş C2 alan adlarını yeniden kaydettirdiğine dair artık kanıt olduğunu söyledi.
Andromeda’nın C2 altyapısını kullanması, Turla’nın bu kampanyanın bilinen tüm kurbanlarının bulunduğu Ukrayna’da Andromeda’yı içeren güvenliği ihlal edilmiş USB anahtarlarını yayarak yeni kurbanların profilini çıkarmaya başladığı Ocak 2022’de başlamış gibi görünüyor. Bu, Rusya’nın Şubat’taki işgalinden önce olacaktı ve Mandiant’a göre bu, savaşla bağlantılı Turla faaliyetinin ilk gözlemi.
C2 altyapısı, kurbanlar hakkında temel sistem bilgilerini ve IP adreslerini toplamak ve Turla’nın onlara gerçekten saldırıp saldırmayacağını belirlemesine yardımcı olmak için kullanıldı. Daha sonra onları Kopiluwak adlı bir keşif aracıyla hedef aldı ve ardından Microsoft Office belgeleri, PDF’ler, metin dosyaları ve LNK dosyaları dahil olmak üzere verileri çalan Quietcanary arka kapısını konuşlandırdı.
“Çıkarılabilir medya, hem siber suçlular hem de devlet aktörleri için ayrım gözetmese de güçlü bir araç olmaya devam ediyor. FSB ile bağlantılı olan Turla, daha önce DoD’da yüksek sesle, kitlesel çoğalmaya yol açan yaygın bir olayda çıkarılabilir medya kullanmıştı. [US Department of Defence] sistemleri on yılı aşkın bir süre önce. Mandiant’ın tehdit istihbaratı başkanı John Hultquist, Agent.BTZ’nin açıkça hizmetin amacının ötesinde yayılması, FSB operasyonlarının benzeri görülmemiş tepkilere ve ifşa olmasına yol açtı” dedi.
“Bu olay tanıdık, ancak yeni dönüş, oyuncuların kendi USB kötü amaçlı yazılımlarını vahşi doğaya salmamaları. Şimdi, komuta ve kontrolü ele geçirerek başka bir aktörün çalışmasından faydalanıyorlar. Bunu yaparak Turla, kendisini yüksek profilli kirli yayılma işinden uzaklaştırıyor, ancak yine de ilgili kurbanları seçiyor.
“Siber suçlular tarafından elde edilen erişimler, bunları kendi amaçları için satın alabilen veya çalabilen Rus istihbarat servisleri için giderek daha fazla kullanılan bir araçtır” diye ekledi.
Hultquist, eski, iyi bilinen kötü amaçlı yazılımları ve altyapısını kullanarak Turla’nın operasyonunun, çok çeşitli uyarıları tetiklemek için zaman harcamak zorunda kalan savunucular tarafından gözden kaçma olasılığının daha yüksek olduğunu söyledi.
Bu, Turla’nın diğer hiçbir işe yaramayanların çalışmalarını kendi amaçları için istismar ettiği ilk kez gözlemlenmiyor. 2020’nin başlarında, İran altyapısını fırsatçı bir şekilde ele geçirdiği ve kurbanları hedef almak için Tahran bağlantılı APT34’ten çalınan implantları kullandığı ortaya çıktı.
Daha da geriye, 2012’deki bir dizi saldırıda Çin devleti tarafından atfedilen kötü amaçlı yazılımı kullandığı, dikkati kendi faaliyetlerinden uzaklaştırmak için kötü amaçlı yazılımı indirip kaldırdığı da düşünülüyor.
Turla operasyonu Ukrayna’ya odaklanmış olsa da, Turla’nın hedefi geçmişte NATO ülkelerini de kapsamıştı. Bu nedenle, ilgi duyduğu bilinen sektörlerdeki kuruluşlar tetikte olmalıdır. Bunlar, askeri kuruluşları, devlet dairelerini, akademik ve araştırma kurumlarını ve yayıncılık ve medya şirketlerini içerir, ancak bunlarla sınırlı olmayabilir. Hedefler genellikle bilimsel ve enerji araştırmaları ve diplomatik ilişkilerde özel çıkarlara sahiptir. Tehlike göstergelerinin (IoC’ler) tam listesi Mandiant’tan edinilebilir.