Terwijl anderen de krantenkoppen halen, Rusland elite van hacking team is druk bezig geweest
Terwijl APT28 was het maken van plezier van de DNC door de Westerse media, Turla APT bleef actief en hacken in de schaduw. Lees meer: https://zd.net/2OA9iUQ
Tientallen landen hebben verwikkeld raken in een state-back ruzie tussen russische en Iraanse hacking groepen, veiligheidsdiensten hebben gewaarschuwd.
Op maandag, de BRITSE National Cyber Security Centrum (NCSC), samen met de AMERIKAANSE National Security Agency (NSA), gepubliceerd in een adviserende waarschuwing dat militaire instellingen, overheidsinstellingen, wetenschappelijke organisaties en universiteiten zijn onder de slachtoffers van een lopende hacken campagne ondernomen door Turla.
Turla, ook wel bekend als Slang, Uroburos, Waterbug of Giftige Dragen, wordt verondersteld afkomstig te zijn van Rusland.
Als een advanced persistent threat (APT), leden van Turla hebben staatssteun, die ze meer middelen dan de gemiddelde cyberattackers — en waardoor ze gevaarlijker als gevolg.
Het gezamenlijke rapport zegt dat ten minste 35 landen hebben het slachtoffer, waarvan het merendeel in het Midden-Oosten, en ten minste 20 succesvol ingebroken in de afgelopen 18 maanden.
Geloofd te worden gesponsord door de russische veiligheidsdienst FSB, Turla is actief sinds 2008 en terwijl voortdurend zijn eigen toolkit, is ook het draaien van de aandacht in de richting van de infrastructuur en de middelen van de andere Kamer.
Als ZDNet eerder gemeld in juni, de russische dreiging actoren hebben gekaapt de systemen van een rivaliserende APT. Afkomstig uit Iran, APT34-ook bekend als Oilrig of Crambus — is aangetast en de “Poison Frog” command-and-control (C2) – servers zijn gekaapt door Turla te laten vallen van haar eigen merk van malware op de Pc al besmet door Oilrig.
Symantec onderzoekers kwamen tot deze conclusie na het vinden van bewijs van een Turla taakplanner op een Oilrig-gecompromitteerde systeem. In het Midden-Oosten overheid entiteit werd het slachtoffer van deze specifieke aanval.
Zie ook: russische APT gehackt Iraanse APT-infrastructuur terug in 2017
Er is momenteel geen bewijs om te suggereren Oilrig heeft terug gevochten tegen het gebruik van haar systemen door een andere aanval van de groep, een scenario dat de hoogtepunten van wat wordt steeds meer een inter-competitieve arena — en wat Paulus Chichester, NCSC directeur van de operaties van mening is nu een “zeer drukke ruimte.”
Turla Slang toolkit is gebruikt naast een Neuron en Nautilus malware implantaten, die beide zijn aangesloten op Iran. De agentschappen geloven Turla eerste verworven toegang tot deze hulpmiddelen voor het testen van deze slachtoffers al aangetast via een Slang.
In sommige gevallen, Oilrig-gekoppelde IP-adressen zou de implementatie van deze implantaten en Turla-gebaseerde infrastructuur zou hebben toegang tot dezelfde lading later op.
“De mensen achter Neuron of Nautilus waren vrijwel zeker niet bewust van, of medeplichtig aan, met, Turla het gebruik van hun implantaten,” de instanties zeggen. “Turla gezocht om hun toegang naar de slachtoffers van de rente door ze te scannen op de aanwezigheid van de Iraanse achterdeuren en een poging om ze te gebruiken om vaste voet te krijgen.”
TechRepublic: Wat is een zero-day kwetsbaarheid?
De russische APT ‘s belangrijkste focus is vaak heimelijke gegevensverplaatsing, en wanneer de groep zich er voornamelijk op gericht afbreuk te doen Oilrig, keyloggers werden ook ingezet voor het bewaken van de andere APT’ s activiteiten, technieken en tactieken — naast actieve slachtoffers en de referenties die nodig zijn om toegang te krijgen tot hun systemen. Volgens de agentschappen, de code die nodig is voor het liften van de Iraanse instrumenten van de C2 voor zelfstandig gebruik.
Turla de ontwikkeling van toolset wordt in de gaten gehouden door cybersecurity bedrijven met belangstelling over de hele wereld. LightNeuron, bijvoorbeeld, is een nieuwe en zeer complexe backdoor gespot door ESET, dat werkt als een mail transfer agent op Microsoft Exchange e-mail servers te onderscheppen en te vervalsen van berichten.
CNET: De beste antivirus bescherming van 2019 voor Windows 10
Het gebruik van Powershell in aanvallen van uitvoerbare bestanden te laden in het geheugen is ook een nieuwe ontwikkeling, en eerder deze maand, Kaspersky zei Turla was waarschijnlijk de schuld van een campagne waarin de interne mechanismen van browsers zoals Firefox en Chrome waren dat er geknoeid wordt met vingerafdruk verkeersstromen.
Vorige en aanverwante dekking
Turla draait PowerShell in een wapen in de aanvallen tegen de EU-diplomaten
Russische cyberspies zijn met behulp van een hel van een slimme Microsoft Exchange backdoor
WAV audio bestanden worden nu gebruikt voor het verbergen van kwaadwillende code
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters