O notório grupo russo de ciberespionagem Turla está hackeando outros hackers, sequestrando a infraestrutura do ator de ameaças paquistanês Storm-0156 para lançar seus próprios ataques encobertos em redes já comprometidas.
Utilizando essa tática, Turla (conhecido como "Secret Blizzard") acessou redes que Storm-0156 havia previamente violado, como em organizações governamentais afegãs e indianas, e implantou suas ferramentas de malware.
De acordo com um relatório dos Black Lotus Labs da Lumen, que rastreou essa campanha desde janeiro de 2023 com a ajuda da equipe de Threat Intelligence da Microsoft, a operação da Turla está em andamento desde dezembro de 2022.
Turla (aka Secret Blizzard) é um grupo russo patrocinado pelo estado ligado ao Centro 16 do Serviço Federal de Segurança (FSB) da Rússia, a unidade responsável pela interceptação, decodificação e coleta de dados de alvos estrangeiros.
Os atores de ameaça têm um longo histórico de campanhas secretas de ciberespionagem visando governos, organizações e instalações de pesquisa em todo o mundo desde pelo menos 1996.
Eles são os suspeitos por trás de ciberataques visando o Comando Central dos EUA, o Pentágono e a NASA, vários Ministérios das Relações Exteriores da Europa Oriental, bem como o Ministério das Relações Exteriores da Finlândia.
Mais recentemente, os Cinco Olhos interromperam o botnet de malware de ciberespionagem "Snake" da Turla, usado para comprometer dispositivos, roubar dados e se esconder em redes violadas.
A Lumen monitorava as campanhas do Storm-0156 há anos, já que o ator de ameaça focava seus ataques na Índia e no Afeganistão.
Durante esse monitoramento, os pesquisadores encontraram um servidor de comando e controle (C2) que exibia um banner "hak5 Cloud C2".
Esse C2 indicava que os atores de ameaça conseguiram instalar um implante físico, como um Wi-Fi pineapple, em uma rede governamental indiana.
Ao monitorar campanhas adicionais, a Lumen descobriu Turla na rede do Storm-0156 observando comportamentos estranhos da rede, como o C2 interagindo com três endereços IP de VPS conhecidos por estarem ligados aos hackers russos.
Foi determinado que, no final de 2022, Turla havia violado vários nós C2 do ator de ameaça Storm-0156 e implantado suas próprias payloads de malware, incluindo uma variante do backdoor TinyTurla, o backdoor TwoDash, o monitor de clipboard Statuezy e o downloader MiniPocket.
Além das famílias de malware associadas à Turla, a Lumen também observou padrões de sinalização e transferências de dados que não se alinhavam com as táticas anteriores do ator de ameaça paquistanês.
A Microsoft diz que esse acesso foi usado principalmente para implantar backdoors em entidades governamentais afegãs, incluindo o Ministério das Relações Exteriores, a Diretoria Geral de Inteligência (GDI) e consulados estrangeiros do governo do Afeganistão.
Turla não parou nos servidores de comando e controle do Storm-0156 e seus alvos já comprometidos, mas foi além, visando os próprios atores de ameaça paquistaneses.
Até meados de 2023, os atores de ameaça russos haviam se movido lateralmente para as próprias estações de trabalho do Storm-0156, ganhando acesso a dados valiosos como ferramentas de malware e credenciais e dados roubados.
As ferramentas de malware incluem o malware CrimsonRAT do Storm-0156 e um trojan de acesso remoto baseado em Go chamado Wainscot.
A Lumen comenta que isso é particularmente fácil de realizar em ambientes de atores de ameaça, pois grupos de estados-nação não podem se proteger usando ferramentas de segurança de ponta.
"Acreditamos que endpoints de estados-nação e cibercriminosos, bem como seu malware, são especialmente vulneráveis à exploração, pois não conseguem usar stacks de segurança modernas para monitoramento de acesso e proteção contra exploração", explica a Lumen.
"Quando atores de ameaça instalam produtos de segurança, isso tem resultado na divulgação de seus exploits e ferramentas anteriormente desconhecidos."
A Microsoft relata que a Turla usou um backdoor do Storm-0156 apenas uma vez para implantar malware em um único desktop na Índia.
Em vez disso, os atores de ameaça implantaram backdoors nos servidores do Storm-0156 usados para hospedar dados roubados pelos atores de ameaça paquistaneses de instituições militares e de defesa indianas.
A Microsoft acredita que essa abordagem mais cautelosa pode estar ligada a considerações políticas.
A Lumen informou à BleepingComputer que agora está redirecionando todo o tráfego da infraestrutura de comando e controle conhecida através da rede da Lumen.
A abordagem da Turla de explorar a infraestrutura de outros atores permite que eles coletem inteligência de maneira furtiva sem se expor ou ao seu conjunto de ferramentas, deslocando a culpa e complicando os esforços de atribuição.
Os hackers russos são conhecidos por empregar essa estratégia desde 2019, quando aproveitaram a infraestrutura e o malware do grupo de ameaça apoiado pelo estado iraniano "OilRig", para lançar ataques em vários países.
Ao mesmo tempo, a Turla roubou dados dos sistemas do OilRig, incluindo logs de keylogger, listagens de diretórios, arquivos, credenciais de contas e construtores de malware para ferramentas privadas como Neuron.
Em 2022, a Mandiant relatou que a Turla implantou backdoors em vítimas do malware "Andromeda" na Ucrânia, após re-registrar três domínios de comando e controle pertencentes a essa operação.
Um relatório de 2023 da Kaspersky deu outro exemplo de uso da Turla de um backdoor roubado de 'Storm-0473' (aka "Tomiris") em ataques.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...