Nhóm gián điệp mạng Turla của Nga kiểm soát cơ sở hạ tầng chỉ huy của tin tặc Pakistan
Trong chiến dịch tấn công mạng này, các tác nhân đe dọa Turla (hay Secret Blizzard) đã chiếm quyền truy cập 33 máy chủ điều khiển và ra lệnh (C2) do tin tặc Pakistan kiểm soát. Đây cũng chính là những kẻ tấn công đã từng xâm nhập vào các mục tiêu của Chính phủ Afghanistan và Ấn Độ.
Theo đó, tin tặc Turla đã xâm nhập vào máy chủ C2 của một nhóm tin tặc APT Pakistan là Storm-0156 (hay SideCopy, Transparent Tribe, APT-36), sử dụng quyền truy cập đó để khởi chạy phần mềm độc hại của riêng chúng và đánh cắp dữ liệu nhạy cảm.
“Chiến dịch mới nhất này kéo dài trong hai năm qua, là trường hợp thứ tư được ghi nhận về việc các tin tặc Turla nhúng mình vào hoạt động của một nhóm gián điệp khác kể từ năm 2019, khi lần đầu tiên chúng bị phát hiện đang tái sử dụng C2 của một nhóm tin tặc Iran”, các nhà nghiên cứu cho biết.
Được biết, Turla là nhóm tin tặc APT tinh vi của Nga nhắm mục tiêu vào các đại sứ quán và văn phòng chính phủ trên khắp thế giới, cũng bị phát hiện đang kiểm soát node Hak5 Cloud C2, một nền tảng được thiết kế để thử nghiệm xâm nhập hợp pháp nhưng bị lạm dụng cho mục đích do thám.
Turla đã hoạt động trong hơn một thập kỷ qua, có liên quan đến một loạt các cuộc tấn công mạng quy mô lớn sử dụng các công cụ phần mềm độc hại phức tạp, chẳng hạn như Snake để tiến hành các hoạt động thu thập thông tin tình báo.
Các hoạt động do Turla thực hiện kể từ tháng 11/2022 cho thấy một nỗ lực nhằm xâm phạm cơ sở hạ tầng C2 của Storm-0156. Mặc dù các cơ chế truy cập ban đầu chưa được biết đến, các nhà nghiên cứu đã phát hiện ra rằng các tin tặc Turla đã sử dụng hiệu quả backdoor Storm-0156 nhằm triển khai các phần mềm độc hại của riêng chúng là TwoDash và Statuezy, trong các mạng lưới chính phủ của Afghanistan, bao gồm Bộ Ngoại giao và Tổng cục Tình báo nước này, từ đó đánh cắp dữ liệu từ thông tin đăng nhập đến các tệp do các tin tặc Storm-0156 thu thập.
“Thông qua kênh này, Turla có khả năng thu thập được rất nhiều dữ liệu. Điều này bao gồm thông tin chi tiết về công cụ của Storm-0156, thông tin xác thực cho cả C2 và mạng lưới mục tiêu, cũng như dữ liệu đã rò rỉ thu thập được từ các hoạt động trước đó”, các nhà nghiên cứu lưu ý.
Black Lotus Labs cho biết, Storm-0156 trước đây thường nhắm vào các mạng lưới của Chính phủ Ấn Độ và Afghanistan, đồng thời lưu ý rằng việc các tin tặc Turla xâm nhập vào các máy trạm của Storm-0156 là bằng chứng cho thấy các tin tặc Nga đã cố tình che đậy dấu vết và làm lu mờ những nỗ lực trong việc quy kết kẻ tấn công tới từ các nhà chức trách.
Đến giữa năm 2024, Black Lotus Labs cho biết Turla đã mở rộng phương thức và phạm vi tấn công, trong đó bao gồm việc sử dụng hai phần mềm độc hại khác là Wasicot và CrimsonRAT mà chúng đã chiếm đoạt được từ Storm-0156.
CrimsonRAT từng được phát hiện lây nhiễm vào các mục tiêu của chính phủ và quân đội Ấn Độ, các nhà nghiên cứu phát hiện ra rằng Turla sau đó đã lợi dụng quyền truy cập này để thu thập dữ liệu từ các lần triển khai phần mềm độc hại từ trước.
Không giống như các nhóm gián điệp Nga khác sử dụng công cụ riêng để che giấu danh tính, Turla sử dụng cơ sở hạ tầng của các tác nhân đe dọa mạng khác để gián tiếp thu thập thông tin tình báo. Điều này không chỉ cung cấp cho chúng những thông tin nhạy cảm mà còn che giấu một cách chiến lược, vì các nỗ lực ứng phó sự cố có thể nhầm lẫn khi quy kết các vụ xâm phạm cho các nhóm khác.
“Có một đặc điểm nổi bật ở nhóm Turla, đó là sự táo bạo trong việc khai thác máy chủ C2 của những tác nhân đe dọa khác cho mục đích riêng của chúng”, Black Lotus Labs cảnh báo, bên cạnh đó lưu ý rằng chiến lược này cho phép những người điều hành Turla có thể đánh cắp từ xa các tệp tin nhạy cảm đã được thu thập trước đó từ các hệ thống mạng bị xâm phạm mà không cần sử dụng (và có thể làm lộ) các công cụ của riêng chúng.
Trong khi theo dõi các tương tác của Turla với các node C2 Storm-0156 bị chiếm đoạt, Black Lotus Labs cho biết họ đã xác định được hoạt động phát tín hiệu từ nhiều mạng lưới Chính phủ Afghanistan mà các tác nhân đe dọa Storm-0156 đã xâm phạm trước đó.
Black Lotus Labs đã phối hợp cùng với các chuyên gia bảo mật tại Microsoft cho biết, đã quan sát các tương tác của Turla với một tập hợp con các node CrimsonRAT C2, trước đây từng được sử dụng để nhắm mục tiêu vào chính phủ và quân đội Ấn Độ.
Một báo cáo riêng từ Microsoft ghi lại cách nhóm tin tặc Turla đã xâm nhập và chiếm đoạt một cách có hệ thống cơ sở hạ tầng của ít nhất 6 nhóm tin tặc do nhà nước tài trợ và tội phạm khác nhau kể từ năm 2017.
Các nhà nghiên cứu giải thích rằng điều này phù hợp với mô hình đã được thiết lập của Turla, trước đây đã từng chiếm đoạt cơ sở hạ tầng của các tin tặc Iran (Hazel Sandstorm), tin tặc Kazakhstan (Storm-0473) và các tác nhân đe dọa khác. Phân tích của Microsoft cho thấy cách tiếp cận này là một chiến lược có chủ đích của FSB nhằm tiến hành các hoạt động gián điệp mạng trong khi che giấu hành vi của chúng phía sau các hoạt động của các nhóm tin tặc khác.
Hồng Đạt
(Tổng hợp)