Според изследване, публикувано в сряда от Black Lotus Labs на Lumen, в необичаен случай на дигитален шпионаж руски хакери са прекарали близо две години в таен контрол на компютърните системи на пакистански кибершпиони, получавайки достъп до чувствителни правителствени мрежи в Южна Азия.

Руската хакерска операция, известна като Turla или Secret Blizzard, е завладяла 33 командни сървъра, управлявани от пакистански хакери, които сами са прониквали в афганистански и индийски правителствени обекти, като понякога са използвали налични в търговската мрежа хардуерни устройства Hak5 pentest.

Според Black Lotus Labs руските хакери са проникнали в сървърите за командване и контрол (C2), използвани от пакистанска APT, проследена като Storm-0156, и са използвали този достъп, за да стартират собствен зловреден софтуер и да похитят чувствителни данни.

„Тази последна кампания, обхващаща последните две години, е четвъртият регистриран случай на вграждане на [Turla] в операциите на друга група от 2019 г. насам, когато за първи път бяха забелязани да използват отново C2 на иранска група за заплахи“, казват изследователите. Миналата година Turla също така беше хваната да използва наследен зловреден софтуер Andromeda, вероятно внедрен от други хакери, за да атакува украински организации.

Turla, агресивна руска APT, която е насочена към посолства и правителствени офиси по целия свят, също е наблюдавана да поема контрол над C2 възел на Hak5 Cloud – платформа, предназначена за легитимно тестване за проникване, но използвана тук за шпионаж.

Преди руснаците да поемат контрола над операцията си, пакистанската група е използвала инструменти за физическо хакерство – налични в търговската мрежа устройства Hak5 – за пробив в индийски правителствени офиси, включително в Министерството на външните работи.

В края на 2022 г. изследователите от Black Lotus Labs твърдят, че руската група се възползва от съществуващите опорни точки на Storm-0156 в афганистанските правителствени мрежи и работните станции на пакистанските оператори. От тази гледна точка Турла е разгърнала патентован зловреден софтуер (обозначен като TwoDash и Statuezy), като е ексфилтрирала данни, вариращи от пълномощни до файлове, събрани от пакистанските оператори.

„Посредством този канал те потенциално се сдобиха с огромно количество данни. Тази награда включваше прозрения за инструментариума на Storm-0156, пълномощни както за C2, така и за целевите мрежи, както и ексфилтрирани данни, събрани от предишни операции“, отбелязват изследователите.

От Black Lotus Labs заявиха, че Storm-0156 в миналото се е насочвал към индийски и афганистански правителствени мрежи, и отбелязаха, че преминаването на Turla към работните станции на пакистански оператори е доказателство за това как APT операторите прикриват следите си и замъгляват опитите за атрибуция.

Към средата на 2024 г., казаха от Black Lotus Labs, Turla е разширила фокуса си, като е включила използването на два други зловредни софтуера (Wasicot и CrimsonRAT), които са били присвоени от пакистанските работни станции. Преди това е установено, че CrimsonRAT е използван срещу правителствени и военни цели в Индия и изследователите са установили, че по-късно Turla се е възползвала от достъпа им, за да събере данни от предишни внедрявания на зловредния софтуер.

„Една характеристика, която отличава тази група повече от всяка друга: тяхната дързост при използването на C2 сървъри на други групи за собствени цели“, предупреждават от Black Lotus Labs, като отбелязват, че стратегията позволява на операторите на Turla да придобиват от разстояние чувствителни файлове, които преди това са били ексфилтрирани от компрометирани мрежи, без да използват (и евентуално да излагат на риск) собствените си инструменти.

„В сценарии, при които другите групи не са придобили всички данни, представляващи интерес за техните цели, те могат да търсят в данните, събрани на C2 възли, откраднати материали за удостоверяване, за да получат достъп, или да използват съществуващия достъп, за да разширят събирането и да разположат своите агенти в мрежата“, добави компанията.

Докато следи взаимодействието на Turla с превзетите от Storm-0156 C2 възли, Black Lotus Labs заяви, че е идентифицирала активност на маяци от различни афганистански правителствени мрежи, които преди това са били компрометирани от заплахите на Storm-0156.

Изследователите, работещи съвместно с ловци на заплахи в Microsoft, са наблюдавали взаимодействията на Turla с подгрупа от C2 възли CrimsonRAT, които преди това са били използвани за атакуване на индийското правителство и армията.

Забележително е, че според Black Lotus Labs Turla е взаимодействала само със седем CrimsonRAT C2 възела, въпреки че са били налични още няколко. „Това селективно ангажиране предполага, че макар да са имали възможност за достъп до всички възли, разполагането на инструментите им е било стратегически ограничено до тези, свързани с най-приоритетните цели в Индия.“

Отделен доклад на Microsoft документира как руската хакерска група Turla на ФСБ (проследявана като Secret Blizzard) систематично е прониквала и превземала инфраструктурата на поне шест различни държавно спонсорирани и криминални хакерски групи от 2017 г. насам. От Редмънд обясняват, че това отговаря на установения модел на Turla, която преди това е превземала инфраструктурата на ирански (Hazel Sandstorm), казахстански (Storm-0473) и други държавни групи. Анализът на Microsoft предполага, че този подход на „шпиониране на шпиони“ е целенасочена стратегия на ФСБ за извършване на шпионаж, като същевременно прикрива дейността си зад операции на други хакери.