根据Black Lotus 实验室周三发布的研究,在一次非同寻常的数字间谍案中,俄罗斯黑客组织花了近两年的时间秘密控制巴基斯坦网络间谍的计算机系统,从而进入南亚各地敏感的政府网络。
俄罗斯黑客组织被称为 Turla 或 Secret Blizzard,征用了 33 个由巴基斯坦黑客操作的C2服务器,这些黑客自己也曾入侵过阿富汗和印度政府的目标,有时还使用市售的 Hak5 渗透测试硬件设备。
据Black Lotus 称,俄罗斯黑客闯入了巴基斯坦 APT组织(被追踪为 Storm-0156)使用的C2服务器,并利用该访问权限启动自己的恶意软件并劫持敏感数据。
研究人员表示:“最近一次活动持续了两年,是自 2019 年首次发现 [Turla] 重新利用伊朗威胁组织的 C2 以来,第四次有记录的 [Turla] 嵌入其他组织行动的案例。”
去年,Turla 还被发现使用其他黑客可能部署的旧版 Andromeda 恶意软件来针对乌克兰组织。
Turla 是一种攻击性较强的俄罗斯 APT,其目标是世界各地的大使馆和政府办公室。据观察,它还控制了 Hak5 Cloud C2 节点,这是一个为合法渗透测试而设计的平台,但在这里被用于间谍活动。
在俄罗斯黑客组织控制其行动之前, Storm-0156巴基斯坦黑客组织一直在部署物理黑客工具——市售的 Hak5 设备——来入侵印度政府机构,包括其外交部。
2022 年底,Black Lotus 实验室的研究人员表示,俄罗斯组织利用 Storm-0156 在阿富汗政府网络和巴基斯坦运营商工作站中现有的立足点。从这个有利位置,Turla 部署了专有恶意软件(标记为 TwoDash 和 Statuezy),窃取了巴基斯坦运营商收集的从凭证到文件等各种数据。
Turla 渗透 Storm-0156 和阿富汗政府网络
“通过这个渠道,他们可能获得了大量数据。这些收获包括对 Storm-0156 工具的洞察、C2 和目标网络的凭证,以及从之前的行动中收集到的泄露数据。”研究人员指出。
Black Lotus 实验室表示,Storm-0156 历史上曾以印度和阿富汗政府网络为目标,并指出 Turla 进入巴基斯坦运营商工作站证明了 APT 运营商如何隐藏其踪迹并试图进行模糊的归因分析。
Black Lotus 实验室表示,到 2024 年中期,Turla 已将重点扩大到使用从巴基斯坦工作站窃取的另外两种恶意软件(Wasicot 和 CrimsonRAT)。此前发现 CrimsonRAT 被用于针对印度的政府和军事目标,研究人员发现 Turla 后来利用他们的访问权限收集了该恶意软件先前部署的数据。
Black Lotus 实验室警告称: “该组织有一个显著特点:他们大胆利用其他黑客组织的 C2 服务器来达到自己的目的。”并指出,该策略允许 Turla 运营者远程获取先前从受感染网络窃取的敏感文件,而无需使用(并可能暴露)他们自己的工具。
Storm-0156 的 Hak5 Cloud C2 与已知 C2 之间的逻辑连接
该公司补充道:“在其他威胁组织尚未获取其目标的所有感兴趣数据的情况下,他们可以在 C2 节点上收集的数据中搜索被盗的身份验证材料以获取访问权限,或使用现有访问权限来扩大收集范围并将其代理部署到网络中。”
Black Lotus 实验室表示,在监控 Turla 与被征用的 Storm-0156 C2 节点的互动时,它发现了 Storm-0156 威胁组织先前曾入侵过的阿富汗政府各个网络的信标活动。
研究人员与微软的威胁猎手一起观察了 Turla 与 CrimsonRAT C2 节点子集的交互,这些节点之前曾被用来攻击印度政府和军队。
值得注意的是,Black Lotus 实验室表示,尽管还有更多可用节点,但 Turla 仅与七个 CrimsonRAT C2 进行了接触。“这种选择性接触意味着,虽然他们有能力访问所有节点,但他们的工具部署在战略上仅限于与印度最高优先级目标相关的节点。”
2024 年 12 月 4 日,微软公司的另一份报告记录了俄罗斯 FSB 黑客组织 Turla(被追踪为 Secret Blizzard)自 2017 年以来如何系统地渗透和劫持至少六个不同国家高级黑客组织的基础设施。
Turla(Secret Blizzard) 和 Storm-0156 攻击链
微软解释说,这符合 Turla 既定的模式,此前它曾接管过伊朗(Hazel Sandstorm)、哈萨克斯坦(Storm-0473)和其他威胁组织的基础设施。微软的分析表明,这种“间谍对间谍”的方法是 FSB 的一种蓄意策略,目的是进行间谍活动,同时将其活动隐藏在其他黑客的行动背后。
发表评论