Российская хакерская группировка Turla, известная своими сложными кибершпионскими операциями, захватила серверы управления и контроля (C2) пакистанской хакерской группы Storm-0156, сообщают исследователи кибербезопасности. Источник: Aaj.tv
Операция, начавшаяся в декабре 2022 года, позволила Turla внедряться в чужие атаки и использовать их для достижения своих стратегических целей, усложняя при этом процесс атрибуции.
К середине 2023 года Turla установила контроль над несколькими серверами Storm-0156 и развернула вредоносные программы, включая загрузчик TwoDash и троян Statuezy, который фиксирует действия в буфере обмена на устройствах Windows. Этот подход дал Turla возможность скрытно собирать данные из афганских и индийских правительственных структур без необходимости проводить собственные атаки.
По данным Microsoft, Turla использовала инфраструктуру Storm-0156 для распространения других инструментов, таких как Crimson RAT и ранее неизвестного импланта Wainscot. Эти инструменты позволили группе получать доступ к рабочим станциям, а также собирать конфиденциальные учетные данные и информацию о целях.
Взлом инфраструктуры других группировок — не новая тактика для Turla. В 2019 году она использовала ресурсы иранской APT-группы, а позже применяла вредоносное ПО Andromeda в Украине и бэкдор Tomiris в Казахстане.
В текущей кампании Turla, например, использовала заражения Crimson RAT, оставленные Storm-0156, для внедрения собственных загрузчиков и дополнительных вредоносных программ. Взлом рабочих станций Storm-0156 также позволил российской группе получить ключевые данные о методах и целях пакистанской группировки, включая разведданные об афганских правительственных и индийских оборонных системах.
Исследователи из Black Lotus Labs компании Lumen Technologies и Microsoft подчеркивают, что действия Turla демонстрируют растущую угрозу, исходящую от российских хакеров. Использование инфраструктуры Storm-0156 иллюстрирует их адаптивность и высокий уровень мастерства в кибершпионаже, что создает значительные риски для региональной безопасности.
Напомним, Россия сосредоточилась на шпионаже в своей кибернаступательной стратегии против Украины в первой половине 2024 года, что отражает изменение тактики, отмеченное в новом отчете Украинской группы реагирования на компьютерные чрезвычайные ситуации (CERT-UA). Вместо разрушительных атак на критическую инфраструктуру, характерных для предыдущих лет, российские хакеры начали использовать более скрытные и долгосрочные методы, направленные на сбор разведданных.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet