Исследователи из Lumen Black Lotus Labs и Microsoft Threat Intelligence Team раскрыли масштабную операцию российской кибершпионской группировки Turla (также известной как Secret Blizzard). Эксперты установили, что хакеры успешно скомпрометировали инфраструктуру пакистанской группы Storm-0156 для проведения собственных разведывательных операций.
Хронология и масштаб компрометации
Операция началась в декабре 2022 года, когда Turla получила доступ к сетям, ранее взломанным Storm-0156. Целями атак стали правительственные организации Афганистана и Индии. Специалисты Lumen обнаружили аномальную активность, связанную с тремя VPS IP-адресами, которые ранее ассоциировались с деятельностью Turla.
Технические детали атаки
После компрометации управляющих узлов Storm-0156, Turla развернула собственный вредоносный инструментарий, включающий: бэкдор TinyTurla, TwoDash, утилиту мониторинга буфера обмена Statuezy и загрузчик MiniPocket. Особое внимание привлекло использование этих инструментов для проникновения в системы афганских государственных учреждений, включая Министерство иностранных дел и Главное разведывательное управление.
Развитие атаки и доступ к инструментам Storm-0156
К середине 2023 года группировка Turla осуществила латеральное перемещение в инфраструктуре Storm-0156, получив доступ к рабочим станциям. Это позволило захватить вредоносные инструменты пакистанской группы, включая CrimsonRAT и троян Wainscot, а также украденные данные и учетные записи.
Последствия и масштаб компрометации
Microsoft сообщает, что Turla использовала захваченную инфраструктуру для установки бэкдоров на серверах Storm-0156, где хранились данные, похищенные из индийских военных и оборонных учреждений. Эксперты Lumen отмечают особую уязвимость инфраструктуры хакерских групп, которые не могут использовать современные средства защиты без риска раскрытия своей деятельности.
Кто находится под угрозой
Под наибольшим риском находятся государственные структуры Афганистана и Индии, использующие веб-приложения на PHP-фреймворках, а также организации, чья инфраструктура ранее подвергалась атакам со стороны Storm-0156. Любая организация, работающая с перехваченными данными или ставшая жертвой CrimsonRAT, может оказаться в зоне повышенного интереса Turla.
Что необходимо предпринять
- Провести аудит сетевых соединений на предмет аномальной активности с VPS-адресами, ассоциированными с Turla или Storm-0156.
- Проверить системы на наличие индикаторов компрометации: процессы TinyTurla, TwoDash, Statuezy и MiniPocket.
- Ограничить SSH-доступ к критической инфраструктуре и использовать многофакторную аутентификацию.
- Применить сегментацию сети для предотвращения латерального перемещения злоумышленников.
- Регулярно обновлять антивирусные базы и правила IDS/IPS с учётом актуальных IoC от ESET Research.
Этот случай не является уникальным для Turla. В 2019 году группировка аналогичным образом использовала инфраструктуру иранской группы OilRig, а в 2023 году захватила контроль над ботнетом Andromeda для поиска потенциальных целей. Подобная тактика «захвата чужой инфраструктуры» становится характерной чертой сложных кибершпионских операций, что требует пересмотра традиционных подходов к кибербезопасности и атрибуции атак.
