Auf den Punkt: Das russische Hackerkollektiv Turla hat seinen Kazuar-Backdoor zu einem modularen P2P-Botnet entwickelt. Die Neuentwicklung ermöglicht langfristige, verdeckte Cyber-Operationen gegen westliche Regierungen und Verteidigungseinrichtungen.
Das russische staatlich unterstützte Hackerkollektiv Turla hat seinen Custom-Backdoor Kazuar zu einem modularen Peer-to-Peer-Botnet umgebaut. Die Neuentwicklung ermöglicht dem Cyberkriminellen Verbund Heimlichkeit und langfristigen Zugriff auf kompromittierte Systeme.
Turla wird von der US-Behörde CISA dem Center 16 des russischen Geheimdiensts FSB zugeordnet. Die Hacker sind unter zahlreichen Alias-Namen bekannt, darunter ATG26, Blue Python, Iron Hunter, Secret Blizzard und Waterbug. Die Gruppe führt zielgerichtete Angriffe gegen Regierungs-, Diplomatie- und Verteidigungseinrichtungen in Europa und Zentralasien durch.
Kazuar ist ein fortschrittlicher .NET-Backdoor, der seit 2017 im Einsatz ist. Microsoft-Sicherheitsforscher haben nun dessen Wandlung vom monolithischen Framework zu einem modularen Bot-Ökosystem dokumentiert. Das System besteht aus drei verschiedenen Komponententypen mit klar definierten Rollen. Diese Modifikationen ermöglichen flexible Konfiguration, reduzieren sichtbare Spuren und unterstützen vielfältige Aufgabenzuweisung.
Das Microsoft Threat Intelligence Team beschreibt die Neuentwicklung als gezielten Aufbau von Widerstandsfähigkeit und Heimlichkeit direkt in die Malware. Als Dropper werden Programme wie Pelmeni und ShadowLoader eingesetzt, um die Module zu entschlüsseln und auszuführen.