Los hackers rusos Turla violan la organización gubernamental europea

Según un nuevo informe de Accenture Cyber ​​Threat Intelligence (ACTI), el grupo de hackers de habla rusa Turla ha violado los sistemas de una organización gubernamental europea desconocida.

Este ataque está perfectamente en línea con la motivación de espionaje y robo de información de Turla y su objetivo persistente de entidades relacionadas con el gobierno de una amplia gama de países.

Índice()

    Los atacantes utilizaron una combinación de puertas traseras y RAT.

    Para comprometer la red de la organización, los atacantes utilizaron una combinación de troyanos de administración remota (RAT) actualizados recientemente y puertas traseras basadas en llamadas a procedimientos remotos (RPC), incluido HyperStack, que fue analizado por ACTI entre junio y octubre de 2020.

    "En particular, los investigadores de Accenture han identificado recientemente nuevas configuraciones de comando y control (C&C) para las puertas traseras de carbono y Kazuar de Turla en la misma red que las víctimas", dijeron los investigadores de ACTI.

    "La configuración de las instancias de Kazuar varió entre el uso de nodos C&C externos de la red de la víctima y nodos internos en la red afectada, y la instancia de Carbon se actualizó para incluir un proyecto Pastebin para recibir actividades encriptadas junto con su infraestructura HTTP C&C tradicional. ".

    En total, durante sus campañas de espionaje, Turla lo hizo ha comprometido miles de sistemas pertenecientes a gobiernos, embajadas, así como a instalaciones de educación e investigación en más de 100 países.

    Usando Hyperstack
    Imagen: Accenture

    "Turla probablemente continuará usando sus herramientas heredadas, aunque con actualizaciones, para comprometer y mantener el acceso a largo plazo a sus víctimas porque estas herramientas han demostrado ser efectivas contra redes basadas en Windows", Accenture Ella dijo.

    ACTI aconseja a las entidades gubernamentales que verifiquen sus registros de red para ver los indicadores de compromiso incluidos al final del informe y que creen detecciones que puedan bloquear futuros ataques de Turla.

    Actividad de espionaje poco ortodoxa

    los Grupo Turla (también monitoreado como Bicho de agua es OSO VENOMIANO) ha estado activo desde 1996 y es el principal sospechoso de los ataques dirigidos el Pentágono y la NASA, la Comando Central de Estados Unidos, la Ministerio de Relaciones Exteriores de Finlandiay, a principios de este año, Ministerios de Relaciones Exteriores de Europa del Este.

    El grupo de piratas informáticos patrocinado por el estado también es conocido por utilizar métodos poco ortodoxos para lograr sus objetivos de ciberespionaje.

    Por ejemplo, crearon troyanos de puerta trasera con sus propias API para revertir los flujos de comunicación y controlaron el malware mediante comentarios en las fotos de Instagram de Britney Spears. También secuestraron la infraestructura y el malware del grupo de hackers OilRig patrocinado por Irán y los usaron en sus propias campañas.

    En mayo, ESET descubrió una nueva versión de la puerta trasera ComRAT controlada por Turla que utilizaba la interfaz web de Gmail en ataques de robo de datos dirigidos a instituciones gubernamentales.

    También en mayo, Kaspersky compartió información sobre lo que se cree que es otro malware Turla "con un nivel de seguridad bajo a medio", una variante RAT denominada COMpfun controlada mediante códigos de estado HTTP poco comunes utilizados en ataques contra entidades diplomáticas europeas.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir