ΑρχικήsecurityΗ APT «Tomiris» χρησιμοποιεί Turla malware, μπερδεύοντας τους ερευνητές

Η APT «Tomiris» χρησιμοποιεί Turla malware, μπερδεύοντας τους ερευνητές

Ορισμένες εκστρατείες που συνδέονταν στο παρελθόν με τη ρωσική Advanced Persistent Threat (APT) Turla διεξήχθησαν στην πραγματικότητα από μια εντελώς ξεχωριστή ομάδα. Οι ερευνητές ονόμασαν αυτή την ομάδα “Tomiris”.

Η Turla (γνωστή και ως Snake, Venomous Bear ή Ourobouros) είναι ένας διαβόητος απειλητικός παράγοντας με δεσμούς με τη ρωσική κυβέρνηση. Με τα χρόνια έχει χρησιμοποιήσει zero-days, νόμιμο λογισμικό και άλλα μέσα για την ανάπτυξη backdoors σε συστήματα που ανήκουν σε στρατούς και κυβερνήσεις, διπλωματικές οντότητες και τεχνολογικούς και ερευνητικούς οργανισμούς. Σε μία περίπτωση, συνδέθηκε, μέσω της κερκόπορτας Kazuar, με την παραβίαση της SolarWinds.

Ωστόσο, δεν είναι όλα Turla. Σε μια νέα δημοσίευση, ερευνητές της Kaspersky δημοσίευσαν στοιχεία που αποδεικνύουν ότι ορισμένες επιθέσεις που είχαν συσχετιστεί προηγουμένως με την Turla πραγματοποιήθηκαν από την Tomiris – μια εντελώς διαφορετική ομάδα με διαφορετικές τακτικές, τεχνικές και διαδικασίες (TTP) και διασυνδέσεις.

«Πιστεύουμε ακράδαντα ότι η Tomiris είναι ξεχωριστή», λέει ο Pierre Delcher, ανώτερος ερευνητής ασφαλείας στο GreAT της Kaspersky. «Δεν είναι η ίδια στόχευση, ούτε τα ίδια εργαλεία, ούτε η ίδια πολυπλοκότητα με την Turla.»

Δείτε επίσης: Anonymous Sudan: Επιτέθηκαν στα sites του αεροδρομίου Ben Gurion και της Israel Electric Corporation

Tomiris

Χωρίζοντας την Turla και την Tomiris

Η απόδοση στον κυβερνοχώρο είναι δύσκολη. «Οι χάκερ υψηλής εξειδίκευσης χρησιμοποιούν τεχνικές που συγκαλύπτουν την προέλευσή τους, καθιστούν τους εαυτούς τους ανώνυμους ή ακόμη και αποδίδονται εσφαλμένα με ψευδή flag σε άλλες απειλητικές ομάδες για να πετάξουν τους ερευνητές εκτός τροχιάς», εξηγεί ο Adam Flatley, πρώην διευθυντής επιχειρήσεων στην Εθνική Υπηρεσία Ασφαλείας και Αντιπρόεδρος του νοημοσύνη στο [Redacted]. «Συχνά μπορούμε να βασιστούμε μόνο στα λάθη επιχειρησιακής ασφάλειας ενός απειλητικού παράγοντα για να βρούμε στοιχεία για την πραγματική του ταυτότητα».

Η Tomiris είναι ένα χαρακτηριστικό παράδειγμα. Η Kaspersky άρχισε να παρακολουθεί αυτό που τώρα φαίνεται ότι ήταν η δραστηριότητα της Tomiris πριν από τρία χρόνια, σε μια εκστρατεία DNS hijacking εναντίον μιας κυβέρνησης της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS). Τα χαρακτηριστικά των ενόχων φάνηκε να είναι ένα μείγμα ρωσικής σούπας APT. Το backdoor Tomiris ανακαλύφθηκε σε δίκτυα παράλληλα με το backdoor Kazuar του Turla, η οποία είχε παράλληλα με το κακόβουλο λογισμικό Sunburst που χρησιμοποιήθηκε στην παραβίαση της SolarWinds.

Δείτε επίσης: Η APC προειδοποιεί για κρίσιμα ελαττώματα RCE στο UPS software

Ωστόσο, οι λεπτομέρειες που συνδέουν την Tomiris και την Turla ποτέ δεν συνδυάστηκαν αρκετά. «Τα εμφυτεύματα που ανέπτυξαν ήταν… καλά, ακούγονταν άφωνοι, σε σύγκριση με ό,τι γνωρίζαμε για την Turla», λέει ο Delcher. «Έτσι πραγματικά, ουσιαστικά δεν υπήρχε τίποτα κοινό και ακόμη και οι στόχοι δεν ταιριάζουν με αυτό που ξέραμε για τα προηγούμενα συμφέροντα της Turla».

“Η στόχευση είναι ένα σημαντικό στοιχείο”, εξηγεί ο Delcher. “Η Tomiris επικεντρώνεται πολύ σε κυβερνητικούς οργανισμούς στην ΚΑΚ, συμπεριλαμβανομένης της Ρωσικής Ομοσπονδίας, ενώ στη σκηνή της κυβερνοασφάλειας, ορισμένοι προμηθευτές συνδέουν την Turla με έναν παράγοντα που υποστηρίζεται από τη Ρωσία. Αυτό δεν θα είχε πολύ νόημα αν ένας υποστηριζόμενος από τη Ρωσία δράστης στόχευε τη Ρωσική Ομοσπονδία.”

Μόλις φέτος, η Mandiant δημοσίευσε έρευνα σχετικά με μια καμπάνια της Turla, στην οποία παραδέχτηκε, σε ένα σημείο, ότι υπήρχαν «ορισμένα στοιχεία αυτής της εκστρατείας που φαίνεται να αποκλίνουν από τις ιστορικές επιχειρήσεις Turla». Οι ερευνητές της Kaspersky έχουν αναθέσει αυτά τα ευρήματα στις επιχειρήσεις Tomiris, με «μέτρια εμπιστοσύνη».

Turla

Συνδέοντας την Turla και την Tomiris

Όλα αυτά δεν σημαίνει ότι δεν υπάρχει καμία απολύτως σχέση μεταξύ της Tomiris και της Turla.

Σε επιθέσεις μεταξύ 2021 και 2023, η Tomiris χρησιμοποίησε τα KopiLuwak και TunnusSched – δύο από τα κακόβουλα εργαλεία της Turla. Ο Delcher λέει, “πιστεύουμε ακράδαντα ότι μπορεί να συνεργάζονταν κάποια στιγμή ή μπορεί να εξακολουθούν να συνεργάζονται αυτή τη στιγμή.”

“Το πώς ακριβώς συνδέονται οι ομάδες είναι προς συζήτηση”, συνέχισε ο Delcher. “Θα μπορούσαν να διευθύνουν μια επιχείρηση από κοινού ή να βασίζονται σε μια παρόμοια αλυσίδα εφοδιασμού. Για παράδειγμα, θα μπορούσαν να έχουν ζητήσει από έναν ανεξάρτητο προγραμματιστή να αναπτύξει ένα backdoor, και ο ανεξάρτητος προγραμματιστής την παρείχε τόσο στην Turla όσο και στην Tomiris.”

Δείτε επίσης: KuCoin: Το Twitter account παραβιάστηκε για να προωθήσει scam crypto giveaway

Γιατί αυτό έχει σημασία για τις επιχειρήσεις

Η διάκριση μεταξύ των απειλητικών φορέων μπορεί να βοηθήσει τους οργανισμούς να αμυνθούν αποτελεσματικότερα, λέει ο Delcher.

Για παράδειγμα, ένας οργανισμός που έχει πληγεί από την Turla ή ανησυχεί για την Turla μπορεί να παρατηρήσει το κακόβουλο λογισμικό Kazuar και να υποθέσει ότι είναι έργο αυτής της ομάδας.

Οι επιμελείς υπερασπιστές θα κάνουν καλά να δώσουν προσοχή στις λεπτές διαφορές μεταξύ των ομάδων, αλλά ορισμένες αρχές ισχύουν σε όλα τα APT.

Πηγή πληροφοριών: darkreading.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS