Российская Turla захватила серверы пакистанской хакерской группы для кибершпионажа

Российская хакерская группировка Turla, известная своими сложными кибершпионскими операциями, захватила серверы управления и контроля (C2) пакистанской хакерской группы Storm-0156, сообщают исследователи кибербезопасности. Источник: Aaj.tv

Операция, начавшаяся в декабре 2022 года, позволила Turla внедряться в чужие атаки и использовать их для достижения своих стратегических целей, усложняя при этом процесс атрибуции.

К середине 2023 года Turla установила контроль над несколькими серверами Storm-0156 и развернула вредоносные программы, включая загрузчик TwoDash и троян Statuezy, который фиксирует действия в буфере обмена на устройствах Windows. Этот подход дал Turla возможность скрытно собирать данные из афганских и индийских правительственных структур без необходимости проводить собственные атаки.

По данным Microsoft, Turla использовала инфраструктуру Storm-0156 для распространения других инструментов, таких как Crimson RAT и ранее неизвестного импланта Wainscot. Эти инструменты позволили группе получать доступ к рабочим станциям, а также собирать конфиденциальные учетные данные и информацию о целях.

Взлом инфраструктуры других группировок — не новая тактика для Turla. В 2019 году она использовала ресурсы иранской APT-группы, а позже применяла вредоносное ПО Andromeda в Украине и бэкдор Tomiris в Казахстане.

В текущей кампании Turla, например, использовала заражения Crimson RAT, оставленные Storm-0156, для внедрения собственных загрузчиков и дополнительных вредоносных программ. Взлом рабочих станций Storm-0156 также позволил российской группе получить ключевые данные о методах и целях пакистанской группировки, включая разведданные об афганских правительственных и индийских оборонных системах.

Исследователи из Black Lotus Labs компании Lumen Technologies и Microsoft подчеркивают, что действия Turla демонстрируют растущую угрозу, исходящую от российских хакеров. Использование инфраструктуры Storm-0156 иллюстрирует их адаптивность и высокий уровень мастерства в кибершпионаже, что создает значительные риски для региональной безопасности.

Напомним, Россия сосредоточилась на шпионаже в своей кибернаступательной стратегии против Украины в первой половине 2024 года, что отражает изменение тактики, отмеченное в новом отчете Украинской группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Вместо разрушительных атак на критическую инфраструктуру, характерных для предыдущих лет, российские хакеры начали использовать более скрытные и долгосрочные методы, направленные на сбор разведданных.

# # # #

Только главные новости в нашем Telegram, Facebook и GoogleNews!