Spioni cibernetici ruşi se ascund în spatele altor hackeri pentru a ataca Ucraina

Grupul rus de spionaj cibernetic Turla, cunoscut şi sub numele de "Secret Blizzard", utilizează infrastructura altor actori maliţioşi pentru a viza dispozitivele militare ucrainene conectate prin Starlink, transmite Bleeping Computer.

Potrivit sursei citate, Microsoft şi Lumen au dezvăluit recent modul în care actorul statal, care este legat de Serviciul Federal de Securitate al Rusiei (FSB), deturnează şi utilizează malware-ul şi serverele grupului de hackeri pakistanez Storm-0156.

Microsoft a publicat miercuri un alt raport care se concentrează pe operaţiuni separate ale Turla între martie şi aprilie 2024, vizând dispozitivele din Ucraina utilizate în operaţiuni militare.

În ultima campanie, Turla a utilizat infrastructura pentru botnet-ul Amadey şi alt grup de hackeri ruşi cunoscut sub numele de "Storm-1837". Această infrastructură a fost folosită pentru a lansa familii de malware personalizate ale Turla, inclusiv Tavdig şi KazuarV2, pe sistemele ucrainene.

Microsoft nu este sigur dacă Turla a deturnat Amadey sau a achiziţionat accesul la botnet, dar campania constituie un alt exemplu al unui actor specific de ameninţare care se ascunde în spatele altor grupuri de hackeri.

"Microsoft consideră că Secret Blizzard a utilizat fie malware-ul Amadey ca serviciu (MaaS), fie a accesat panourile de comandă şi control (C2) Amadey în mod clandestin pentru a descărca un dropper PowerShell pe dispozitivele ţintă.

Dropper-ul PowerShell conţinea un payload Amadey codificat în Base64, urmat de un cod care iniţia o cerere către infrastructura de comandă şi control (C2) Secret Blizzard", explică Microsoft.

Rezumatul atacurilor Turla în Ucraina

Atacurile Turla în Ucraina încep cu e-mailuri de tip phishing care conţin ataşamente maliţioase, backdoor-uri Storm-1837 sau botnet-ul Amadey, utilizat pentru livrarea payload-urilor pe dispozitivele infectate.

Amadey este un botnet de malware care a fost utilizat pentru acces iniţial şi livrarea payload-urilor încă din 2018. La un moment dat, a fost folosit de afiliaţii LockBit ca precursor pentru criptare pe reţele.

Malware-ul versatil este folosit în principal pentru a acţiona ca un malware dropper, iar în cazul Turla, este folosit pentru a implementa instrumente de recunoaştere personalizate pe dispozitive compromise şi pentru a descărca droppere PowerShell care încarcă malware-ul personalizat al grupului de ameninţări, Tavdig („rastls.dll”).

Microsoft explică faptul că hackerii folosesc informaţiile de recunoaştere furnizate de fişierul batch descărcat pentru a identifica ţintele de mare prioritate, cum ar fi dispozitivele militare conectate la sistemele Starlink.

"Microsoft a observat Secret Blizzard descărcând instrumentul lor personalizat de recunoaştere sau sondaj. Acest instrument a fost distribuit selectiv pe dispozitivele de interes ale actorului de ameninţare – de exemplu, dispozitivele care utilizează adrese IP STARLINK, o semnătură comună a dispozitivelor militare de pe linia frontului din Ucraina", explică Microsoft în raport.

Se presupune că dispozitivele Starlink au fost vizate pentru a aduna informaţii despre activităţile militare de pe linia întâi, ceea ce se aliniază cu rolul lui Turla în cadrul FSB.

Raportul Microsoft leagă, de asemenea, Turla de alt actor de ameninţare rus cunoscut sub numele de Storm-1837, care, conform celor de la Redmond, în trecut s-a concentrat pe dispozitivele folosite de operatorii de drone ucraineni.

Conform Microsoft, Turla a fost observat utilizând backdoor-ul Power-Shell Storm-1837 numit „Cookbox”, pe care Storm-1837 l-a implementat în Ucraina în ianuarie 2024, exploatând vulnerabilitatea WinRAR CVE-2023-38831.

Familiile de malware personalizate ale Turla au fost mai târziu implementate pe acele sisteme, ceea ce sugerează că Storm-1837 a fost fie deturnat, fie a colaborat cu Turla pentru a livra payload-urile lor.

Malware-ul Tavdig şi KazuarV2

Tavdig şi KazuarV2 sunt componente cheie ale arsenalului de malware al Turla, având roluri distincte dar complementare în campania lor de spionaj recentă.

Tavdig este un backdoor modular uşor, conceput pentru a stabili un punct de sprijin iniţial, pentru a efectua supraveghere şi pentru a lansa payload-uri suplimentare.

Poate colecta informaţii precum acreditări de utilizator, configuraţii de reţea şi software-ul instalat, şi poate efectua modificări ale registrului şi crea sarcini programate pentru persistenţă.

Unul dintre instrumentele pe care Tavdig le încarcă pe dispozitivele compromise este KazuarV2, un backdoor mai avansat şi mai discret al Turla, conceput pentru colectarea pe termen lung a informaţiilor de spionaj, executarea comenzilor şi exfiltrarea datelor.

KazuarV2 este de obicei injectat în procese de sistem legitime, cum ar fi 'explorer.exe' sau 'opera.exe', pentru a evita detectarea şi apoi trimite şi primeşte date şi comenzi de la infrastructura sa de comandă şi control (C2).

Microsoft notează că KazuarV2 este un malware modular, astfel că poate fi extins cu plugin-uri suplimentare după necesităţi, adaptându-se la cerinţele specifice ale spionajului.

Se recomandă ca apărătorii să verifice măsurile de atenuare şi interogările de căutare propuse de Microsoft în raport, care acoperă această operaţiune specifică a Turla şi activităţile mai ample ale grupului.