Mens andre grib overskrifter, Ruslands elite hacking team har haft travlt
Mens APT28 var at gøre nar af DNC gennem Vestlige medier, Turla APT forblev aktiv og hacking i skyggerne. Læs mere: https://zd.net/2OA9iUQ
Snesevis af lande er blevet indblandet i en state-backed spyttede mellem russiske og Iranske grupper af hackere, sikkerhed agenturer har advaret om.
På mandag, den BRITISKE National Cyber Security Center (NCSC), sammen med den AMERIKANSKE National Security Agency (NSA), der blev offentliggjort en rådgivende advarsel om, at militære institutioner, ministerier, videnskabelige organisationer og universiteter er blandt ofrene for en løbende hacking kampagne, der gennemføres af Turla.
Turla, også kendt som Slange, Uroburos, Waterbug eller Giftige Bære, menes at stamme fra Rusland.
Som en advanced persistent threat (APT), der er medlemmer af Turla have statsstøtte, der giver dem flere ressourcer, end din gennemsnitlige cyberattackers — og gøre dem mere farlig som et resultat.
Den fælles rapport siger, at mindst 35 lande er blevet mål, hvoraf de fleste er i Mellemøsten, og mindst 20 er med held blevet kompromitteret i løbet af de seneste 18 måneder.
Menes at være sponsoreret af den russiske sikkerhedstjeneste FSB, Turla har været aktiv i hvert fald siden 2008, og mens han konstant udvikler sin egen værktøjskasse, har også været ved at vende sin opmærksomhed mod den infrastruktur og ressourcer af andre APTs.
Som ZDNet, der tidligere er rapporteret i juni, den russiske trussel aktører, der har kapret systemer af en rivaliserende APT. Oprindeligt fra Iran, APT34-også kendt som Oilrig eller Crambus — er blevet kompromitteret og dens “Gift Frøen” command-and-control (C2) – servere er blevet kapret af Turla til at droppe sit eget mærke af malware på Pc ‘ er, der allerede er inficeret af olie boreplatform.
Symantec forskere kom til denne konklusion efter at finde beviser af en Turla opgavestyring på en Oilrig-kompromitteret system. En mellemøstlig regering enhed, der blev offer for denne specifikke angreb.
Se også: russisk APT hacket Iranske APT ‘ s infrastruktur tilbage i 2017
Der er i øjeblikket intet, der tyder på Oilrig har kæmpet tilbage mod udnyttelse af sine systemer ved et andet angreb gruppe, et scenario, som fremhæver det, der er ved at blive et mere og mere inter-konkurrenceprægede arena — og hvad Paulus Chichester, NCSC direktør for operationer mener, er nu en “meget overfyldt rum.”
Turla ‘ s Snake toolkit er blevet brugt sammen med Neuron og Nautilus malware implantater, der begge har været forbindelse til Iran. De agenturer, der mener, Turla først har fået adgang til disse værktøjer, før de tester dem på ofre der allerede kompromitteret via Slangen.
I nogle tilfælde, Oilrig-forbundet IP-adresser vil installere disse implantater og Turla-baseret infrastruktur ville få adgang til de samme nyttelast på et senere tidspunkt.
“Dem, der står bag Neuron eller Nautilus var næsten helt sikkert ikke bevidst om, eller meddelagtige med, Turla’ s brug af deres implantater,” de agenturer sige. “Turla forsøgt at fremme deres adgang til ofre for interesse ved at scanne for tilstedeværelse af Iranske bagdøre og forsøger at bruge dem til at få fodfæste.”
TechRepublic: Hvad er en zero-day-sårbarhed?
Den russiske APT ‘s primære fokus er ofte data exfiltration, og når gruppen koncentreret sin indsats om at gå på kompromis Oilrig, keyloggers blev også anvendt til at overvåge andre APT’ s aktiviteter, teknikker og taktikker-foruden aktiv ofre og de legitimationsoplysninger, der er nødvendige for at få adgang til deres systemer. I henhold til de instanser, den kode, der kræves for at løfte den Iranske værktøjer fra C2 til selvstændig brug.
Turla s udvikling af værktøjskasse, der er ved at blive overvåget af cybersecurity virksomheder med interesse i hele verden. LightNeuron, for eksempel, er en ny og meget komplekse bagdør, som blev opdaget af ESET, der fungerer som en mail transfer agent på Microsoft Exchange email-servere, for at opfange og manipulere med beskeder.
CNET: Den bedste antivirus beskyttelse af 2019 for Windows 10
Brug af Powershell i angreb til at indlæse programmer i hukommelsen, har også været en ny udvikling, og tidligere i denne måned, Kaspersky sagde Turla var sandsynligvis skyld i en kampagne, hvor de indre mekanismer i browsere, herunder Firefox og Chrome var at blive manipuleret med til at tage fingeraftryk af trafik-strømme.
Tidligere og relaterede dækning
Turla viser PowerShell til et våben i angreb mod EU-diplomater
Russisk cyberspies bruger et helvede af en dygtig Microsoft Exchange bagdør
WAV-lydfiler er nu bruges til at skjule ondsindet kode
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre