Af Eskil Sørensen, 10/12/24
Vi er bekendt med historier om APT-grupper, der spionerer mod organisationer, myndigheder og virksomheder. At høre om, hvordan APT-grupper stjæler fra hinanden hører mere til sjældenhederne, men naturligvis sker det.
Det fortæller en ny historie, som Security Week bringer med henvisning til research fra Lumen's Black Lotus Labs.
Reseachen viser, at russiske hackere fra gruppen Turla har kapret 33 command-servere, som er drevet af pakistanske hackere, der selv har angrebet afghanske og indiske mål, bl.a. ved hjælp af kommercielt tilgængelige Hak5-hardwareenheder. Angiveligt har russerne i næsten to år kontrolleret de pakistanske spioners computersystemer og fået adgang til følsomme regeringsnetværk i hele Sydasien. Hvorfor gøre arbejdet selv, når man kan få andre til det?
Ifølge Black Lotus Labs brød de russiske hackere ind på command-og-control-servere (C2) brugt af en pakistansk APT med navnet Storm-0156 og brugte adgangen til at starte egen malware og få adgang til følsomme data.
Ifølge rapporten har kampagnen varet de sidste to år, og det er tilsyneladende det fjerde registrerede tilfælde siden 2019, hvor Turla har nasset på en anden gruppes operationer, da de første gang blev set genbruge C2'erne fra en iransk trusselgruppe. Sidste år blev Turla også fanget i at bruge ældre Andromeda-malware, som sandsynligvis blev indsat af andre hackere for at rette aktiviteter mod organisationer i Ukraine.
Turla betegnes som en aggressiv russisk APT, der som regel retter sin opmærksomhed mod ambassader og regeringer rundt om i verden. APT’en skal også være set tage kontrol over en platform, der er designet til lovlig penetrationstest, men i dette tilfælde udnyttet til spionage. Så man skal også vogte sig for kaprede lovlige værktøjer. Både som spion og almindelig lovlydig organisation.
Microsoft peger i en separat rapport på, at Turlas tilgang med at udnytte andre spioners arbejde en bevidst strategi fra FSB (en af Ruslands efterretningstjenester, red) til at udføre spionage, mens de skjuler deres aktiviteter bag andre hackere.
Links:
https://www.securityweek.com/spy-v-spy-russian-apt-turla-caught-stealing...