Rosyjskie cyberszpiegostwo Grupa znana jako Turla stała się niesławna w 2008 roku jako hakerzy stojący za agent.btz, zjadliwym złośliwym oprogramowaniem, które rozprzestrzeniało się w systemach Departamentu Obrony USA, uzyskując powszechny dostęp za pośrednictwem zainfekowanych dysków USB podłączanych przez niczego niepodejrzewających pracowników Pentagonu. Teraz, 15 lat później, ta sama grupa wydaje się próbować nowego sposobu na tę sztuczkę: przejąć kontrolę nad infekcjami USB inny hakerów, którzy podpinają się na swoich infekcjach i potajemnie wybierają cele szpiegowskie.
Firma Mandiant zajmująca się bezpieczeństwem cybernetycznym ujawniła dziś incydent, w którym hakerzy firmy Turla – powszechnie uważani za pracujących w rosyjskiej agencji wywiadowczej FSB – uzyskali dostęp do sieci ofiar, rejestrując wygasłe domeny prawie dziesięcioletniego cyberprzestępcy złośliwe oprogramowanie rozprzestrzeniające się za pośrednictwem zainfekowanych dysków USB. W rezultacie Turla była w stanie przejąć serwery dowodzenia i kontroli tego szkodliwego oprogramowania w stylu kraba pustelnika i przesiać ofiary, aby znaleźć te, które byłyby warte szpiegowania.
Wydaje się, że ta technika przechwytywania ma na celu pozostawienie Turli niewykrytej, ukrywanie się w śladach innych hakerów podczas przeczesywania ogromnej kolekcji sieci. I pokazuje, jak metody rosyjskiej grupy ewoluowały i stały się znacznie bardziej wyrafinowane w ciągu ostatnich półtorej dekady, mówi John Hultquist, który kieruje analizami wywiadowczymi w Mandiant. „Ponieważ złośliwe oprogramowanie już rozprzestrzeniało się przez USB, Turla może to wykorzystać bez narażania się. Zamiast korzystać z własnych narzędzi USB, takich jak agent.btz, mogą korzystać z narzędzi innej osoby” — mówi Hultquist. „Kopiują się na operacjach innych ludzi. To naprawdę sprytny sposób robienia interesów”.
Odkrycie przez Mandianta nowej techniki Turli po raz pierwszy wyszło na jaw we wrześniu ubiegłego roku, kiedy osoby reagujące na incydenty firmy odkryły dziwne naruszenie sieci na Ukrainie, kraju, który stał się głównym celem wszystkich usług wywiadowczych Kremla po katastrofalnej inwazji Rosji w lutym ubiegłego roku. Kilka komputerów w tej sieci zostało zainfekowanych po tym, jak ktoś włożył dysk USB do jednego z ich portów i dwukrotnie kliknął szkodliwy plik na dysku, który był zamaskowany jako folder, instalując złośliwe oprogramowanie o nazwie Andromeda.
Andromeda to stosunkowo powszechny trojan bankowy, którego cyberprzestępcy używają do kradzieży danych uwierzytelniających ofiar już od 2013 roku. Jednak na jednej z zainfekowanych maszyn analitycy firmy Mandiant zauważyli, że próbka Andromedy po cichu pobrała dwa inne, bardziej interesujące fragmenty złośliwego oprogramowania. Pierwsze, narzędzie rozpoznawcze o nazwie Kopiluwak, było wcześniej używane przez Turlę; drugie złośliwe oprogramowanie, backdoor znany jako Quietcanary, który kompresował i wysysał starannie wybrane dane z komputera docelowego, był w przeszłości używany wyłącznie przez firmę Turla. „To była dla nas czerwona flaga” — mówi Gabby Roncone, analityk zagrożeń firmy Mandiant.
Kiedy Mandiant przyjrzał się serwerom dowodzenia i kontroli złośliwego oprogramowania Andromeda, które zapoczątkowało ten łańcuch infekcji, jego analitycy zauważyli, że domena używana do kontrolowania próbki Andromedy — której nazwa była wulgarną drwiną z branży antywirusowej — faktycznie wygasła i została ponownie zarejestrowana na początku 2022 r. Przyglądając się innym próbkom Andromedy i ich domenom dowodzenia i kontroli, Mandiant zauważył, że co najmniej dwie kolejne wygasłe domeny zostały ponownie zarejestrowane. W sumie domeny te łączyły się z setkami infekcji Andromedą, z których wszystkie Turla mogła przejrzeć, aby znaleźć podmioty warte ich szpiegowania.
.jpg "Odnowione wkładki douszne Nothing to poważni kandydaci")
