-
Turla组织线索背景以及论坛中vlad画像
-
Turla vlad溯源之旅
-
Turla urik溯源以及成员与FSB之间的关系
Turla组织线索背景以及论坛中vlad画像
2018年,爱沙尼亚情报机构的公开报告中称Turla组织的支持者是俄罗斯联邦安全局(FSB),但并没有提供详细的证据。2022年2月17日,德国公共广播机构Bayerischer Rundfunk(BR,“巴伐利亚广播”)、Westdeutscher Rundfunk Köln(WDR,西德广播公司)公开了他们将Turla组织的成员vlad和urik溯源到FSB的证据链,但模糊了具体证据的内容。白泽安全实验室对证据进行了还原,对溯源过程进行了复盘。
2.代码中隐藏的线索
从2010年到2014年,Turla使用Uroburos恶意软件攻击了乌克兰、立陶宛、英国、比利时、格鲁吉亚、美国、罗马尼亚、匈牙利、意大利等多个国家。2014年2月,G DATA SecurityLabs发布了对Uroburos恶意软件的分析。Uroburos由两个文件组成,一个驱动程序和一个加密的虚拟文件系统。Uroburos可以窃取系统中的数据,还可以拦截网络流量,它的模块化结构可以很容易地扩展新功能。
Uroburos恶意软件的字符串中包含了一些相关文件信息,如文件名、文件创建时间以及创建者用户名。从这些信息中可以获取到3个创建者的用户名“vlad”、“urik”和“glig”。文件创建的时间最早是2006年3月20日。
图 2-1 Uroburos恶意软件中的字符串
2006年使用的互联网和操作系统都与今天不同。像微软这样的公司当时并没有为他们的大部分软件提供文档,计算机专家当时会通过论坛来交换有关操作系统实际工作方式的信息。这就意味着可能vlad等人也曾使用论坛与其他人进行交流。
3.论坛中的vlad画像
OSR开发者社区论坛是一个提出和回答有关 Windows 系统软件开发、Windows 驱动程序工具包 (WDK) 和 Windows 内核模式调试 (WinDbg) 的问题的地方。2002年3月6日,OSR开发者社区一个名为“vlad-ntdev”的用户发布了一个TDI过滤器驱动程序。帖子中称“这是我写的第一个TDI过滤驱动”。TDI 过滤器驱动程序附加在TCPIP.sys创建的一个或多个设备对象之上,以便在传输层过滤网络流量。
图 3-1 Vlad发布的程序以及程序描述
vlad在OSR论坛一共发布了110217个帖子,是一个非常活跃的用户,他的大部分问题都和Windows驱动程序相关。
图 3-2 vlad-ntdev发布了110217个帖子
图 3-3 vlad-ntdev参与的帖子列表
在OSR论坛中发帖时会显示有时会显示注册邮箱和注册网站时的用户名,vlad-ntdev的帖子显示出他的用户名为“Vladislav Goncharov”,邮箱是“[email protected]”。从网上的存档中可以找到该邮箱为“[email protected]”。
图3-4 帖子中的用户名
图 3-5 帖子中的邮箱
Vladislav Goncharov在2002年6月11日发布了tdi_fw的1.0版本,tdi_fw最后的更新时间是2005年9月7日。tdi_fw是一个应用于Windows NT4/2000/XP/2003系统的基于TDI的开源个人防火墙。
图 3-6 tdi_fw的更新时间
图 3-7 tdi_fw注释中的“Vladislav Goncharov”
Vladislav Goncharov还参与过WIPFW项目(windows上的类iptables工具)。
图 3-8 参与WIPFW项目
基于上述内容,可以对论坛vlad做一个基本画像。
|
名称 |
Vladislav Goncharov |
|
昵称 |
vlad、vlad-ntdev |
|
邮箱 |
nt-dev@unshadow.net |
|
技能点 |
Window驱动编程、防火墙、windows文件系统和微过滤器开发 |
往期推荐
揭秘Transparent Tribe组织的CapraRat间谍软件——每周威胁动态第71期(03.04-03.10)
疑似TA445组织网络钓鱼攻击针对欧洲政府——每周威胁动态第70期(02.25-03.03)
原文始发于微信公众号(白泽安全实验室):揭露Turla组织成员vlad和urik现实身份——Turla组织线索背景以及论坛中vlad画像
