Според изследване, публикувано в сряда от Black Lotus Labs на Lumen, в необичаен случай на дигитален шпионаж руски хакери са прекарали близо две години в таен контрол на компютърните системи на пакистански кибершпиони, получавайки достъп до чувствителни правителствени мрежи в Южна Азия.

Руската хакерска операция, известна като Turla или Secret Blizzard, е завладяла 33 командни сървъра, управлявани от пакистански хакери, които сами са прониквали в афганистански и индийски правителствени обекти, като понякога са използвали налични в търговската мрежа хардуерни устройства Hak5 pentest.

Според Black Lotus Labs руските хакери са проникнали в сървърите за командване и контрол (C2), използвани от пакистанска APT, проследена като Storm-0156, и са използвали този достъп, за да стартират собствен зловреден софтуер и да похитят чувствителни данни.

„Тази последна кампания, обхващаща последните две години, е четвъртият регистриран случай на вграждане на [Turla] в операциите на друга група от 2019 г. насам, когато за първи път бяха забелязани да използват отново C2 на иранска група за заплахи“, казват изследователите. Миналата година Turla също така беше хваната да използва наследен зловреден софтуер Andromeda, вероятно внедрен от други хакери, за да атакува украински организации.

Turla, агресивна руска APT, която е насочена към посолства и правителствени офиси по целия свят, също е наблюдавана да поема контрол над C2 възел на Hak5 Cloud – платформа, предназначена за легитимно тестване за проникване, но използвана тук за шпионаж.

Преди руснаците да поемат контрола над операцията си, пакистанската група е използвала инструменти за физическо хакерство – налични в търговската мрежа устройства Hak5 – за пробив в индийски правителствени офиси, включително в Министерството на външните работи.

В края на 2022 г. изследователите от Black Lotus Labs твърдят, че руската група се възползва от съществуващите опорни точки на Storm-0156 в афганистанските правителствени мрежи и работните станции на пакистанските оператори. От тази гледна точка Турла е разгърнала патентован зловреден софтуер (обозначен като TwoDash и Statuezy), като е ексфилтрирала данни, вариращи от пълномощни до файлове, събрани от пакистанските оператори.

„Посредством този канал те потенциално се сдобиха с огромно количество данни. Тази награда включваше прозрения за инструментариума на Storm-0156, пълномощни както за C2, така и за целевите мрежи, както и ексфилтрирани данни, събрани от предишни операции“, отбелязват изследователите.

От Black Lotus Labs заявиха, че Storm-0156 в миналото се е насочвал към индийски и афганистански правителствени мрежи, и отбелязаха, че преминаването на Turla към работните станции на пакистански оператори е доказателство за това как APT операторите прикриват следите си и замъгляват опитите за атрибуция.

Към средата на 2024 г., казаха от Black Lotus Labs, Turla е разширила фокуса си, като е включила използването на два други зловредни софтуера (Wasicot и CrimsonRAT), които са били присвоени от пакистанските работни станции. Преди това е установено, че CrimsonRAT е използван срещу правителствени и военни цели в Индия и изследователите са установили, че по-късно Turla се е възползвала от достъпа им, за да събере данни от предишни внедрявания на зловредния софтуер.

„Една характеристика, която отличава тази група повече от всяка друга: тяхната дързост при използването на C2 сървъри на други групи за собствени цели“, предупреждават от Black Lotus Labs, като отбелязват, че стратегията позволява на операторите на Turla да придобиват от разстояние чувствителни файлове, които преди това са били ексфилтрирани от компрометирани мрежи, без да използват (и евентуално да излагат на риск) собствените си инструменти.

„В сценарии, при които другите групи не са придобили всички данни, представляващи интерес за техните цели, те могат да търсят в данните, събрани на C2 възли, откраднати материали за удостоверяване, за да получат достъп, или да използват съществуващия достъп, за да разширят събирането и да разположат своите агенти в мрежата“, добави компанията.

Докато следи взаимодействието на Turla с превзетите от Storm-0156 C2 възли, Black Lotus Labs заяви, че е идентифицирала активност на маяци от различни афганистански правителствени мрежи, които преди това са били компрометирани от заплахите на Storm-0156.

Изследователите, работещи съвместно с ловци на заплахи в Microsoft, са наблюдавали взаимодействията на Turla с подгрупа от C2 възли CrimsonRAT, които преди това са били използвани за атакуване на индийското правителство и армията.

Забележително е, че според Black Lotus Labs Turla е взаимодействала само със седем CrimsonRAT C2 възела, въпреки че са били налични още няколко. „Това селективно ангажиране предполага, че макар да са имали възможност за достъп до всички възли, разполагането на инструментите им е било стратегически ограничено до тези, свързани с най-приоритетните цели в Индия.“

Отделен доклад на Microsoft документира как руската хакерска група Turla на ФСБ (проследявана като Secret Blizzard) систематично е прониквала и превземала инфраструктурата на поне шест различни държавно спонсорирани и криминални хакерски групи от 2017 г. насам. От Редмънд обясняват, че това отговаря на установения модел на Turla, която преди това е превземала инфраструктурата на ирански (Hazel Sandstorm), казахстански (Storm-0473) и други държавни групи. Анализът на Microsoft предполага, че този подход на „шпиониране на шпиони“ е целенасочена стратегия на ФСБ за извършване на шпионаж, като същевременно прикрива дейността си зад операции на други хакери.

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
Бъдете социални
Още по темата
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
20/01/2025

FCC с отговор на хакерските...

Федералната комисия по комуникациите прие декларативно...
20/01/2025

TikTok възстановява услугат...

TikTok възстанови услугите си за потребителите...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!