El uso de Turla de la infraestructura iraní probablemente sea oportunista


Es probable que Turla, grupo de amenazas persistentes avanzadas (APT) vinculado al gobierno ruso, que el año pasado reveló haber secuestrado los recursos de operaciones de la red informática iraní para llevar a cabo sus ataques y ofuscar su actividad, haya estado operando de manera oportunista y no colaborando con los iraníes, según a una nueva investigación publicada por la unidad Insikt de Record Future.

En octubre de 2019, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y la Agencia de Seguridad Nacional (NSA) de los EE. UU. Cerraron una investigación de dos años y publicaron pruebas concluyentes de que Turla estaba atacando a sus víctimas con implantes robados del APT34 o OilRig Grupo APT, que está vinculado al gobierno iraní.

Hasta la fecha, las víctimas del grupo han incluido organizaciones militares, departamentos gubernamentales, instituciones académicas y de investigación, editoriales y compañías de medios, y los objetivos a menudo tienen intereses específicos en investigación científica y energética, y asuntos diplomáticos. Muchos de ellos se han ubicado en estados europeos y otros estados de la OTAN, y ex repúblicas soviéticas.

El grupo se ha hecho conocido por su uso de ataques de abrevaderos – a menudo usando sitios de WordPress comprometidos – y campañas de phishing, pero también ha utilizado una serie de técnicas más ingeniosas, incluido el uso de satélites para extraer datos de áreas remotas. También se sabe que depende de herramientas de software de código abierto, pero también se especializa en el desarrollo de sus propias cepas de malware. En 2019, giró hacia una gran dependencia de Potencia Shell explota en sus ataques.

La investigación adicional llevada a cabo por Insikt en Turla, que también se conoce con el nombre de Snake, Waterbug y Venomous Bear, reveló que su secuestro de los recursos de APT34 ha sido único entre los actores de amenazas conocidos hasta la fecha, lo que equivale efectivamente a la toma completa de un grupo estatal de una nación. activos por otro.

Insikt dijo que aunque era posible que esto se debiera a alguna medida de colaboración, la evidencia disponible no respaldaba esa conclusión.

«Por ejemplo, si bien Turla tenía una visión significativa de las herramientas y operaciones APT34, se les exigió que escanearan los shells web iraníes para encontrar dónde se implementaron estas herramientas», escribieron los autores del informe. “Evaluamos que la interposición de Turla en las operaciones iraníes probablemente fue un acto descoordinado y, por lo tanto, hostil.

«Si bien el Grupo Insikt evalúa que el uso de la infraestructura APT34 del Grupo Turla fue principalmente de naturaleza oportunista, un beneficio adicional para los operadores fue probablemente el engaño de los respondedores de incidentes, que potencialmente identificarían las herramientas como de origen iraní».

Turla tiene forma a este respecto, ya que reutilizó la cepa de malware Quarian atribuida por el estado chino en ataques en 2012. Las evaluaciones anteriores de otros investigadores de amenazas habían sugerido que Turla descargó, luego desinstaló Quarian para desviar y engañar a los equipos e investigadores de seguridad de las víctimas.

Aunque, como muchos otros grupos APT de estado-nación, Turla ha aumentado su dependencia del código abierto y las herramientas de productos básicos, el hecho de que continúa desarrollando sus propias cepas avanzadas de malware: Reductor RAT, identificado por primera vez en el otoño de 2019, es sospechoso de ser uno de sus proyectos – Lo convierte en una amenaza más potente de alguna manera.

Insikt dijo que era indudablemente un grupo bien financiado, comprometido a mejorar sus herramientas y prácticas, y ciertamente conectado a un estado nación con capacidades avanzadas de seguridad cibernética.

«Aunque esperamos que sus objetivos y prácticas cambien con el tiempo, el Grupo Insikt evalúa que Turla seguirá siendo una amenaza activa y avanzada en los próximos años que continuará sorprendiendo con conceptos operativos únicos», dijeron los investigadores.

Sin embargo, una buena noticia para los equipos de seguridad puede ser que debido a que Turla es muy consistente en sus patrones de ataque y usa versiones estables y periódicamente actualizadas de malware único en largas campañas, es más fácil rastrear e identificar de manera proactiva.

La investigación completa del Grupo Insikt sobre Turla se puede leer y descargar desde su sitio web.