Sicherheitsforscher von Lumen Black Lotus Labs und Microsoft Threat Intelligence haben eine hochkomplexe Cyberspionage-Operation aufgedeckt. Die russische Hackergruppe Turla (auch bekannt als Secret Blizzard) hat erfolgreich die digitale Infrastruktur der pakistanischen Gruppe Storm-0156 kompromittiert und für eigene nachrichtendienstliche Operationen zweckentfremdet.
Chronologie und Ausmaß der Kompromittierung
Die Operation begann im Dezember 2022, als Turla sich Zugang zu Netzwerken verschaffte, die bereits von Storm-0156 infiltriert worden waren. Die Angriffe richteten sich hauptsächlich gegen Regierungsorganisationen in Afghanistan und Indien. Sicherheitsexperten identifizierten verdächtige Aktivitäten im Zusammenhang mit drei VPS-IP-Adressen, die charakteristisch für Turlas Operationsmuster sind.
Technische Details der Angriffsinfrastruktur
Nach der erfolgreichen Übernahme der Command-and-Control-Server von Storm-0156 implementierte Turla ein komplexes Arsenal an Malware-Werkzeugen, darunter: TinyTurla-Backdoor, TwoDash, Statuezy Clipboard-Monitor und den MiniPocket-Loader. Besonders bemerkenswert war der Einsatz dieser Tools zur Infiltration afghanischer Regierungsinstitutionen, einschließlich des Außenministeriums und des Hauptnachrichtendienstes.
Laterale Bewegung und Zugriff auf Storm-0156 Werkzeuge
Bis Mitte 2023 gelang es Turla durch geschickte laterale Bewegungen in der Storm-0156-Infrastruktur, Zugriff auf deren Arbeitsstationen zu erlangen. Dies ermöglichte den Zugang zu den Malware-Tools der pakistanischen Gruppe, darunter CrimsonRAT und der Wainscot-Trojaner, sowie zu gestohlenen Daten und Zugangsdaten.
Strategische Bedeutung und Auswirkungen
Microsoft berichtet, dass Turla die übernommene Infrastruktur nutzte, um Backdoors auf Storm-0156-Servern zu installieren, auf denen sensitive Daten aus indischen Militär- und Verteidigungseinrichtungen gespeichert waren. Cybersicherheitsexperten betonen die besondere Verwundbarkeit von Hackergruppen-Infrastrukturen, da diese oft auf moderne Sicherheitsmaßnahmen verzichten müssen, um ihre Aktivitäten nicht zu kompromittieren.
Diese Operation reiht sich in ein Muster ähnlicher Aktionen von Turla ein. 2019 nutzte die Gruppe die Infrastruktur der iranischen Hackergruppe OilRig, und 2023 übernahm sie die Kontrolle über das Andromeda-Botnetz zur Zielidentifizierung. Diese „Infrastructure Hijacking“-Strategie entwickelt sich zu einem charakteristischen Merkmal moderner Cyberspionage-Operationen und erfordert eine grundlegende Neubewertung traditioneller Ansätze zur Cybersicherheit und Angriffszuordnung. Organisationen müssen ihre Verteidigungsstrategien anpassen und verstärkt auf die Erkennung und Abwehr solcher mehrstufiger, komplexer Angriffe setzen.
