Medan andra är förstasidesstoff, Ryssland elit hacking team har varit upptagen
Medan APT28 var att göra narr av DNC genom Västerländska medier, Turla APT förblev aktiv och hacka i skuggorna. Läs mer: https://zd.net/2OA9iUQ
Dussintals länder har blivit indragen i ett statligt stöd spottade mellan ryska och Iranska hacka grupper, säkerhetsorgan har varnat för.
På måndag, den BRITTISKA National Cyber Security Centre (NCSC), tillsammans med AMERIKANSKA National Security Agency (NSA), publicerade en rådgivande varning om att militära inrättningar, statliga myndigheter, vetenskapliga organisationer och universitet finns bland offren för ett pågående dataintrång kampanj som genomförs av Turla.
Turla, även känd som en Orm, Uroburos, Waterbug eller Giftiga Bär, som tros härröra från Ryssland.
Som ett advanced persistent threat (APT), medlemmar av Turla har statligt stöd, att ge dem mer resurser än din genomsnittliga cyberattackers — och att göra dem mer farligt som följd.
Den gemensamma rapport som säger att minst 35 länder har blivit mål, varav de flesta finns i Mellanöstern, och minst 20 har varit framgångsrikt äventyras under de senaste 18 månaderna.
Trodde att sponsras av den ryska säkerhetstjänsten FSB, Turla har varit aktiv sedan åtminstone 2008 och samtidigt ständigt utvecklas sin egen verktygslåda, har också varit att vända sin uppmärksamhet mot den infrastruktur och resurser i andra APTs.
Som ZDNet som tidigare redovisats i juni, det ryska hotet aktörer har kapat de system som av en rival APT. Kom från Iran, APT34-även känd som Oljerigg eller Crambus — har äventyrats och dess “Gift Groda” – kommando-och-kontroll (C2) – servrar har blivit kapat av Turla att släppa sitt eget varumärke av skadlig kod på Datorer som redan är smittad av Oljerigg.
Symantec forskare kom fram till denna slutsats efter att hitta bevis för en Turla schemaläggaren på en Oljerigg-äventyras systemet. En Middle Eastern regeringen enhet som var offer för denna särskilda attack.
Se även: ryska APT hackad Iranska APT: s infrastruktur tillbaka 2017
Det finns för närvarande inget som tyder på Oljerigg har kämpat tillbaka mot exploatering av system med en annan attack grupp, ett scenario som belyser vad som är på väg att bli en allt mer inter-konkurrenskraftig arena-och vad Paul Chichester, NCSC chef för verksamheten anser är nu en “mycket trångt utrymme.”
Turla är Orm verktygslåda som har använts vid sidan av Neuron och Nautilus malware implantat, som båda har varit ansluten till Iran. De myndigheter anser Turla fått tillgång till dessa verktyg innan man testar dem på offren redan äventyras via Orm.
I vissa fall, Oljerigg-samman IP-adresser skulle sätta in dessa implantat och Turla-baserad infrastruktur skulle få tillgång till samma nyttolaster senare.
“De som står bakom Neuron eller Nautilus var nästan säkert inte medvetna om, eller medverkat med, Turla bruk av sina implantat,” de myndigheter säger. “Turla syftade till att öka deras tillgång till offer av intresse genom att söka efter förekomsten av Iranska bakdörrar och försöker använda dem för att få fotfäste.”
TechRepublic: Vad är en noll-dag sårbarhet?
Den ryska APT: s huvudsakliga fokus är ofta data exfiltration, och när koncernen har fokuserat sina ansträngningar på att kompromissa Oljerigg, keyloggers var också användas för att övervaka den andra APT: s aktiviteter, tekniker och taktik — tillsammans aktiv offer och de autentiseringsuppgifter som behövs för att få tillgång till deras system. Enligt de organ, är den kod som krävs för att lyfta den Iranska verktyg från C2 för oberoende användning.
Turla utvecklas verktyg som är bevakad av it-företag med intresse över hela världen. LightNeuron, till exempel, är en ny och mycket komplexa bakdörr fläckig av ESET som fungerar som ett mail transfer agent på Microsoft Exchange-e-post-servrar för att fånga upp och mixtra med meddelanden.
CNET: De bästa antivirus skydd av 2019 för Windows 10
Användning av Powershell i attacker för att ladda filer i minnet har också varit en ny utveckling, och tidigare den här månaden, Kaspersky säger Turla var sannolikt att skylla för en kampanj där de inre mekanismerna i webbläsare som Firefox och Chrome var manipuleras för att fingerprint trafik strömmar.
Tidigare och relaterade täckning
Turla visar PowerShell till ett vapen i attacker mot EU: s diplomater
Ryska cyberspies använder ett helvete av en smart Microsoft Exchange bakdörr
WAV-filer är nu används för att dölja skadlig kod
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter