Die Malware wird stetig weiterentwickelt
Die Turla-Gruppe entwickelt ihre Malware konstant weiter: In den drei Jahren Entwicklungszeit von Carbon konnten ESET-Forscher bis dato acht aktive Versionen identifizieren. Zudem geht die Gruppe bei ihren Angriffen sehr umsichtig vor. Zunächst werden die Systeme potenzieller Opfer ausspioniert, bevor ausgefeilte Tools wie Carbon zum Einsatz kommen.
Die Kompromittierung erfolgt entweder über eine Spear-Phishing-E-Mail oder den Besuch einer zuvor kompromittierten Webseite, welche die Nutzer normalerweise häufiger aufrufen (sogenannte ""Watering-Hole-Attacken"). Nach einer erfolgreichen Attacke wird eine First Stage Backdoor wie Tavdig oder Skipper auf dem Computer des Opfers installiert. Sobald die Aufklärungsphase abgeschlossen ist, wird die Second Stage Backdoor Carbon implementiert.
Parallelen zu anderen Turla Tools
"Carbon zeigt einige Parallelen zu einem anderen Tool der Turla-Malware, dem Rootkit Uroburos. Die größte Ähnlichkeit liegt im Kommunikations-Framework. Die Implementierung der Kommunikationsobjekte findet ähnlich statt, die Struktur und die virtuellen Tabellen sehen identisch aus. Einzige Ausnahme: Carbon verfügt über weniger Kommunikationskanäle",
so die Analyse.
