Conhecidos por mudarem de ferramentas quando descobertos, o grupo Turla mantém o seu malware em evolução constante, alterando mutexes (objetos de exclusão mútua) e nomes de ficheiros entre versões. Isto também é notável no Carbon – nos três anos decorridos desde o seu desenvolvimento, os investigadores da ESET conseguiram até agora confirmar oito versões ativas. Notável pelos seus esforços meticulosos e atividade faseada, o grupo Turla começa por efetuar reconhecimento dos sistemas das vítimas antes de acionarem ferramentas sofisticadas como o Carbon.

Uma situação clássica começa com o utilizador a receber um email suspeito ou a visitar um site previamente comprometido, tipicamente um site visitado regularmente. Após um ataque bem-sucedido, um backdoor de primeiro nível – como o Tadvig ou o Skipper – é instalado no sistema da vítima. Assim que a fase de reconhecimento é concluída, um backdoor de segundo nível, como o Carbon, é instalado em sistemas críticos.

A metodologia do Carbon passa por disseminar elementos do Carbon e o seu ficheiro de configuração, um componente que comunica com servidores de Controlo e Comando (C&C), e um módulo que gere tarefas, que as expede para outros computadores na mesma rede e cria neles um processo legítimo – o DLL – que comunica com os C&C e um programa que executa o módulo.

“O Carbon é semelhante a outra ferramenta do Turla – o rootkit Uroburos – sendo a estrutura de comunicação a semelhança mais relevante. Os objetos de comunicação são implementados da mesma forma, as estruturas e tabelas virtuais parecem idênticas, mas há menos canais de comunicação no Carbon,” pode ser lido na análise. “Sem os componentes de kernel e exploits, o Carbon pode ser a versão ‘light’ do Uroburos.”

Para ler a análise técnica ao Carbon, por favor visite o site WeLiveSecurity.com.