Konec APT34: Ruští špioni pronikli do infrastruktury OilRig a rozšířili nebezpečný malware

21. 6. 2019 15:20 Cybersecurity Help

Kybernetická bezpečnostní společnost Symantec ukazuje novou zprávu o neexistenci žádné záruky, že jakákoliv státem sponzorovaná hackingová skupina má úplnou kontrolu nad vlastní infrastrukturou. Výzkumníci odkryli důkazy o aktivitách skupiny známé jako Turla (další jména Snake nebo Waterbug), která prováděla nepřátelské převzetí serverů patřících konkurenční hackerské skupině zvané OilRig (APT34, Crambus), dříve spojenou s íránskou vládou.

K útoku zřejmě došlo v lednu 2018, kdy byla do počítače ve vládní organizaci na Blízkém východě stažena varianta nástroje pro kradení informací – Mimikatz, ze serveru dříve ovládaného skupinou OilRig. Mimikatz byl stažen pomocí nástroje Powruner a ovládacího panelu Poison Frog. Infrastruktura i nástroj Powruner byli několika výzkumníky veřejně spojeny s OilRigem.

Symantec věří, že použitá varianta Mimikatz v tomto útoku je pro Turlu jedinečná kvůli své značné modifikaci, přičemž téměř celý původní kód byl odstraněn. Turla je známá svým používáním silně modifikovaných veřejně dostupných nástrojů, což není pro OilRig běžná praktika.

I když je spolupráce obou skupin možná, společnost Symantec uvedla, že nenalezla žádný důkaz, který by tuto možnost podpořil. Podle zprávy je únos infrastruktury společnosti OilRig pro Turlu spíše oportunistickým krokem a neexistuje žádný důkaz o odplatě íránské skupiny proti vetřelcům.

Co se týče příčin útoků, existuje několik možných vysvětlení: mohlo by se jednat o taktiku falešné návnady, která by svedla vyšetřovatele z cesty. Další možnost pojednává o snaze Turly ohrozit cílovou organizaci, ale zjistila o zabrání tohoto místa, proto se rozhodla o únos infrastruktury jako prostředek k získání přístupu. Mezi další možnosti patří, že verze Mimikatz, stažená infrastrukturou OilRig, byla skutečně vytvořena íránskou APT skupinou. Nicméně tato možnost je velmi nepravděpodobná vzhledem k technice provedení a faktu, že jediná další zmínka o použití je spojená s Turlou.

Převzetí serveru OilRig bylo součástí řady aktivních operací, které v uplynulém roce a půl provedla Turla proti 13 organizacím v 10 různých zemích. Seznam cílových subjektů zahrnuje vládní ministerstva v Evropě, Latinské Americe, na Středním východě a v jižní Asii, spolu s organizacemi v oblasti IT a vzdělávání. V nedávných kampaních skupina použila „řadu nových nástrojů“, včetně vlastního malwaru, upravených verzí veřejně dostupných nástrojů pro hackování a legitimních administrativních nástrojů.

Sdílet