Експерти з кібербезпеки Lumen Black Lotus Labs та Microsoft Threat Intelligence виявили масштабну операцію російського кіберугруповання Turla (відомого також як Secret Blizzard), яке скомпрометувало інфраструктуру пакистанської хакерської групи Storm-0156 для проведення розвідувальних кампаній.
Початок та розвиток кібероперації
За даними дослідників, активна фаза операції розпочалась у грудні 2022 року, коли Turla отримала несанкціонований доступ до мережевої інфраструктури, раніше скомпрометованої Storm-0156. Фахівці Lumen зафіксували підозрілу активність на трьох VPS-серверах, які традиційно пов’язували з діяльністю Turla. Основними цілями атак стали урядові організації Афганістану та Індії.
Технічний арсенал та методи проникнення
Після успішного захоплення контролю над командними серверами Storm-0156, хакери Turla розгорнули власний шкідливий інструментарій, що включав бекдор TinyTurla, шпигунське ПЗ TwoDash, утиліту моніторингу буфера обміну Statuezy та завантажувач MiniPocket. Особливу увагу привернуло використання цього арсеналу для компрометації систем афганських державних установ, включаючи Міністерство закордонних справ та Головне розвідувальне управління.
Розширення впливу та доступ до ресурсів Storm-0156
До середини 2023 року Turla здійснила латеральне переміщення в мережевій інфраструктурі Storm-0156, отримавши доступ до робочих станцій. Це дозволило захопити шкідливі інструменти пакистанської групи, включаючи CrimsonRAT та троян Wainscot, а також викрадені дані та облікові записи з індійських військових та оборонних установ.
Стратегія подвійного використання інфраструктури
За інформацією Microsoft, Turla встановила власні бекдори на серверах Storm-0156, де зберігалися викрадені дані. Експерти Lumen підкреслюють особливу вразливість інфраструктури хакерських груп, які не можуть використовувати сучасні засоби захисту через ризик викриття своєї діяльності.
Подібна тактика “захоплення чужої інфраструктури” стає характерною рисою сучасних кібершпигунських операцій. Раніше Turla вже демонструвала подібний підхід у 2019 році, використовуючи ресурси іранської групи OilRig, а в 2023 році – захопивши контроль над ботмережею Andromeda. Ця тенденція вимагає переосмислення традиційних методів виявлення та атрибуції кібератак, оскільки зловмисники все частіше маскують свою діяльність під інші угруповання.
