Leakers publicera källkoden av Iranska hackerverktyg
APT34 hacking verktyg och offer uppgifter som läckt ut på ett hemligt Telegram kanal sedan förra månaden.
Som karl ZDNet författare Andrada Fiscutean skrev en gång på hösten 2017: “Spioner hack. Men det bästa spioner hacka andra spioner.”
Berättelsen kretsade kring ett Virus Bulletin 2017 prata med utförliga uppgifter om flera mystiska fall där APTs (advanced persistent threats, en teknisk term som används för att beskriva regeringens stöd hacka enheter) dök upp hade äventyras infrastrukturen i andra APTs, antingen av misstag eller avsiktligt.
Artikeln nämns hur två nordkoreanska APTs hackad samma “staging” – server för att lansera attacker mot deras mål, men utan att synas ha fått kännedom om varandras närvaro på samma system.
Och det även upp fallet med en mystisk Kinesisk APT att hacka kontrollpanelen i command and control (C&C-servrar som drivs av en rysk APT (Crouching Yeti, DragonFly) för att distribuera en dold spårningsbildpunkt att övervaka varje gång de ryska operatörerna är inloggade på sina konton för att inleda attacker.
En ny instans av “spioner hacka andra spioner”
Men idag, i en rapport som publicerades av Symantec och delade med ZDNet den USA-baserade it-säkerhet bolaget sade att det finns ett annat fall av ett lands APT intrång i infrastruktur i ett annat land är APT.
Den som gör alla hacking är en träffande kallas Turla, knuten till landets regering för nästan två decennier.
Den Turla APT är ökända för sin tidigare verksamhet som verkar för att dras ut av Hollywood-filmer. Den grupp som har varit kända för att stjäla och använda satelliterna för att leverera skadlig kod till avlägsna delar av världen, har utvecklat skadlig kod som gömde sin kontroll mekanismen inuti kommentarer på Britney Spears’ Instagram bilder, och har kapat infrastruktur i hela Internetleverantörer att omdirigera användare till en skadlig kod.
En av dess mer nyligen hacka kampanjer, som beskrivs närmare i ESET och Kaspersky rapporter, innebar användningen av en ny och otroligt smart typ av bakdörr för Microsoft Exchange-e-post-servrar, som kallas LightNeuron (Symantec kodnamn: Neptun).
Turla hackad APT34 i slutet av 2017
Samtidigt undersöker denna kampanj för sin egen rapport, Symantec säger att det finns bevis för att någon gång i November 2017, Turla APT (som Symantec uppmanar Waterbug) hade hackat sig in på servern infrastruktur av en Iransk APT känd som APT34 (även känd som Oljerigg eller Crambus).
Enligt Symantec, Turla används APT34 command och control-servrar för att släppa skadlig kod på datorer som redan är infekterade med Oljerigg hackerverktyg.
“Den första observerade bevis på [Turla] aktivitet kom den 11 januari 2018, när en [Turla]-kopplade verktyg (en schemaläggaren heter msfgi.exe var tappade på en dator på offrets nätverk,” sade Symantec.
Nästa dag, den 12 januari, den Turla grupp används APT34 s nätverk igen, släppa ytterligare skadlig kod på andra datorer tidigare äventyras av APT34. Offret var en Mellanöstern regeringen, enligt Symantec.
Bild: Symantec
Det verkar som APT34 operatörer inte upptäcka intrång.
“Vi har inte några bevis för att [Oljerigg] reagerade på det övertagande,” Alexandrea Berninger, en Ledande Cyber Intelligence Analyst för Symantec Managed Motståndare och Threat Intelligence (MATI) laget, berättade ZDNet via e-post.
“Men vi har bevis som tyder på att [Oljerigg] varit aktiv i regeringen företagets nätverk genom åtminstone slutet av 2018 använda ett annat kommando och kontroll infrastruktur,” sade hon.
Och Turla närvaro på samma nätverk fortsatte också, åtminstone fram till September 2018, när Symantec senast såg aktivitet från den ryska hackare.
Den APT34 läckor
Men Turla hack av APT34 infrastruktur var inte APT34 enda läcka. Hela Mars och April i år, en mystisk grupp av hackare har försökt att sälja och har släppt källkoden till flera APT34 hackerverktyg.
Det får en att undra om de läcker APT34 verktygen är inte Turla eller en kollega ryska underrättelsetjänsten.
“Det finns inte några belägg för att de skulle peka i denna riktning,” Berninger berättade ZDNet.
“Men, den läcker inte föreslå att [APT34 s] infrastruktur kan ha varit utsatta för kompromiss, vilket innebär att det eventuellt var en relativt enkel avledning för [Turla] för att använda [APT34 s] infrastruktur.”
Symantecs rapport om den senaste tidens Turla (Waterbug) hacka kampanj kommer att släppas senare i dag. Vi kommer att uppdatera denna punkt med en länk till rapporten när den blir offentlig.
Relaterade skadliga program och it-brottslighet täckning:
Nya Echobot malware är ett smörgåsbord av vulnerabilitiesFlorida staden betalar $600.000 till ransomware gäng att ha sin data backRansomware stoppar produktionen i dagar i stora flygplansdelar manufacturerMysterious Iranska gruppen är ett intrång i DNA sequencersNew Plurox malware är en bakdörr, cryptominer, och mask, alla förpackade i oneMicrosoft varnar Azure kunder av Exim masken Mer än 3B falsk e-post som skickas dagligen som phishing-attacker kvarstår TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter