Исследователи из Lumen Black Lotus Labs и Microsoft Threat Intelligence Team раскрыли масштабную операцию российской кибершпионской группировки Turla (также известной как Secret Blizzard). Эксперты установили, что хакеры успешно скомпрометировали инфраструктуру пакистанской группы Storm-0156 для проведения собственных разведывательных операций.
Хронология и масштаб компрометации
Операция началась в декабре 2022 года, когда Turla получила доступ к сетям, ранее взломанным Storm-0156. Целями атак стали правительственные организации Афганистана и Индии. Специалисты Lumen обнаружили аномальную активность, связанную с тремя VPS IP-адресами, которые ранее ассоциировались с деятельностью Turla.
Технические детали атаки
После компрометации управляющих узлов Storm-0156, Turla развернула собственный вредоносный инструментарий, включающий: бэкдор TinyTurla, TwoDash, утилиту мониторинга буфера обмена Statuezy и загрузчик MiniPocket. Особое внимание привлекло использование этих инструментов для проникновения в системы афганских государственных учреждений, включая Министерство иностранных дел и Главное разведывательное управление.
Развитие атаки и доступ к инструментам Storm-0156
К середине 2023 года группировка Turla осуществила латеральное перемещение в инфраструктуре Storm-0156, получив доступ к рабочим станциям. Это позволило захватить вредоносные инструменты пакистанской группы, включая CrimsonRAT и троян Wainscot, а также украденные данные и учетные записи.
Последствия и масштаб компрометации
Microsoft сообщает, что Turla использовала захваченную инфраструктуру для установки бэкдоров на серверах Storm-0156, где хранились данные, похищенные из индийских военных и оборонных учреждений. Эксперты Lumen отмечают особую уязвимость инфраструктуры хакерских групп, которые не могут использовать современные средства защиты без риска раскрытия своей деятельности.
Этот случай не является уникальным для Turla. В 2019 году группировка аналогичным образом использовала инфраструктуру иранской группы OilRig, а в 2023 году захватила контроль над ботнетом Andromeda для поиска потенциальных целей. Подобная тактика «захвата чужой инфраструктуры» становится характерной чертой современных сложных кибершпионских операций, что требует пересмотра традиционных подходов к кибербезопасности и атрибуции атак.
