Piratas informáticos rusos secuestraron los servidores de los piratas informáticos paquistaníes para sus propios ataques

El notorio grupo ruso de ciberespionaje Turla está pirateando a otros piratas informáticos, secuestrando la infraestructura del actor de amenazas paquistaní Storm-0156 para lanzar sus propios ataques encubiertos en redes ya comprometidas.

Usando esta táctica, Turla (también conocido como «Secret Blizzard») accedió a redes que Storm-0156 había violado previamente, como en organizaciones gubernamentales afganas e indias, y desplegó sus herramientas de malware.

Según un informe de Black Lotus Labs de Lumen, que rastreó esta campaña desde enero de 2023 con la ayuda del Equipo de Inteligencia de Amenazas de Microsoft, la operación Turla ha estado en marcha desde diciembre de 2022.

Turla (también conocido como Secret Blizzard) es un grupo de piratas informáticos patrocinado por el estado ruso vinculado al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia, la unidad responsable de la interceptación, decodificación y recopilación de datos de objetivos extranjeros.

Los actores de la amenaza tienen un largo historial de campañas secretas de ciberespionaje dirigidas a gobiernos, organizaciones e instalaciones de investigación en todo el mundo desde al menos 1996.

Son los sospechosos detrás de los ciberataques dirigidos al Comando Central de Estados Unidos, el Pentágono y la NASA, varios Ministerios de Asuntos Exteriores de Europa del Este, así como el Ministerio de Asuntos Exteriores de Finlandia.

Más recientemente, Five Eyes desbarató la botnet de malware de ciberespionaje «Snake» de Turla, utilizada para comprometer dispositivos, robar datos y esconderse en redes vulneradas.

Lumen había estado monitoreando las campañas de Storm-0156 durante años, ya que el actor de amenazas centraba sus ataques en India y Afganistán.

Durante este monitoreo, los investigadores encontraron un servidor de comando y control (C2) que mostraba un banner «hak5 Cloud C2». Este C2 indicaba que los actores de amenazas de alguna manera pudieron instalar un implante físico, como una piña de Wi-Fi, en una red del gobierno indio.

Mientras monitoreaba otras campañas, Lumen descubrió a Turla dentro de la red de Storm-0156 al observar un comportamiento extraño en la red, como C2 interactuando con tres direcciones IP de VPS que se sabía que estaban vinculadas a los piratas informáticos rusos.

Se determinó que a fines de 2022, Turla había violado varios nodos C2 del actor de amenazas Storm-0156 y había implementado sus propias cargas útiles de malware, incluida una variante de puerta trasera TinyTurla, la puerta trasera TwoDash, el monitor de portapapeles Statuezy y el descargador MiniPocket.

Además de las familias de malware asociadas con Turla, Lumen también notó patrones de balizamiento y transferencias de datos que no se alineaban con las tácticas anteriores del actor de amenazas paquistaní.

Microsoft aseguró que este acceso se utilizó principalmente para implementar puertas traseras en entidades del gobierno afgano, incluido el Ministerio de Asuntos Exteriores, la Dirección General de Inteligencia (GDI) y los consulados extranjeros del gobierno de Afganistán.

Turla no se detuvo en los servidores de comando y control de Storm-0156 y sus objetivos ya comprometidos, sino que fue un paso más allá al apuntar a los propios actores de amenazas paquistaníes.

A mediados de 2023, los actores de amenazas rusos se habían trasladado lateralmente a las propias estaciones de trabajo de Storm-0156, obteniendo acceso a datos valiosos como herramientas de malware y credenciales y datos robados. Las herramientas de malware incluyen el malware CrimsonRAT de Storm-0156 y un troyano de acceso remoto basado en Go llamado Wainscot.

Lumen comenta que esto es particularmente fácil de realizar en entornos de actores de amenazas, ya que los grupos de estados nacionales no pueden protegerse utilizando herramientas de seguridad de última generación.

Microsoft informa que Turla solo usó una puerta trasera Storm-0156 una vez para implementar malware en un solo escritorio en India. En cambio, los actores de amenazas desplegaron puertas traseras en los servidores de Storm-0156 utilizados para alojar datos robados por los actores de amenazas paquistaníes de instituciones militares y de defensa indias.

Microsoft cree que este enfoque más cuidadoso podría estar vinculado a consideraciones políticas.

El enfoque de Turla para explotar la infraestructura de otros actores les permite recopilar inteligencia de manera sigilosa sin exponerse a sí mismos ni a su conjunto de herramientas, lo que deriva la culpa y complica los esfuerzos de atribución.

Big Head

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.