Operacja FSB. Użyto serwera pakistańskich hakerów

Badacze Black Lotus Labs wykryli długotrwałą kampanię (rozpoczęła się 2 lata temu) prowadzoną przez dobrze znaną w środowisku grupę Turla. 

Jest aktywna od co najmniej 2004 roku, choć można również znaleźć informacje wskazujące na końcówkę lat 90. XX wieku. Ma być częścią rosyjskiego FSB i zajmować się atakami na „cele dużej wagi”. Wśród nich należy wymienić podmioty rządowe z Europy, Azji czy Bliskiego Wschodu. Głośnym przykładem było włamanie do Pentagonu w 2008 r. 

Na naszych łamach wielokrotnie opisywaliśmy działania prowadzone przez Turlę: link.

Przejęcie serwera pakistańskich hakerów

Na najnowsze ślady aktywności hakerów wpadli specjaliści Black Lotus Labs. Jak czytamy w analizie kampanii, atakującym udało się uzyskać dostęp do serwera C2 (Command and Control), wykorzystywanego przez pakistańską grupę Strom-0156, zajmującą się szpiegostwem. Według badaczy miało to miejsce w grudniu 2022 r.

Skąd taki ruch Turli? Aby bez większego wysiłku mieć oko na podmioty będące w kręgu zainteresowania Kremla w Azji Południowej. Mowa tu o m.in. afgańskim rządzie czy indyjskich organizacjach. 

FSB wysłużyło się pakistańskimi szpiegami

Taka taktyka pozwoliła hakerom Turli na uzyskanie zdalnego dostępu do plików, które już wcześniej zostały pozyskane przez Strom-0156. Inną korzyścią był dostęp do wybranych zasobów z sieci ofiar, dzięki czemu atakujący mogą np. gromadzić więcej danych. Co być może najważniejsze, atrybucja stała się jeszcze trudniejsza. 

Obecnie nie wiadomo, w jaki sposób Turla uzyskała dostęp do infrastruktury pakistańskich hakerów oraz czy o tym wiedzieli.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].