Russia

悪名高きロシアのサイバースパイ・グループ「Turla」が他のハッカーをハッキングし、パキスタンの脅威行為者「Storm-0156」のインフラを乗っ取って、すでに侵害されているネットワークに独自の秘密攻撃を仕掛けている。

Turla(別名「Secret Blizzard」)はこの手口で、アフガニスタンやインドの政府組織など、Storm-0156が以前に侵入したネットワークにアクセスし、マルウェアツールを展開した。

マイクロソフトの脅威インテリジェンス・チームの協力を得て2023年1月からこのキャンペーンを追跡していたルーメンのBlack Lotus Labsのレポートによると、Turlaの作戦は2022年12月から進行していたという。

Turla(別名Secret Blizzard)は、ロシア連邦保安庁(FSB)のセンター16(外国のターゲットからのデータの傍受、解読、収集を担当する部署)にリンクするロシアの国家支援ハッキンググループです。

この脅威集団は、少なくとも1996年以来、世界中の政府、組織、研究施設を標的に秘密裏にサイバースパイ活動を展開してきた長い歴史を持っている。

彼らは、米国中央司令部国防総省、NASA、いくつかの東欧外務省フィンランド外務省を標的としたサイバー攻撃の容疑者である。

最近では、ファイブ・アイズは、デバイスを危険にさらし、データを盗み、侵入されたネットワークに潜伏するために使用されたTurlaの「Snake」サイバースパイ・マルウェア・ボットネットを妨害した

Storm-0156に侵入してデータを盗む

Lumenは、Storm-0156がインドとアフガニスタンに攻撃を集中させていることから、Storm-0156のキャンペーンを何年にもわたって監視していました。

この監視の過程で、研究者は「hak5 Cloud C2」のバナーを表示するコマンド・アンド・コントロール・サーバー(C2)を発見しました。このC2は、脅威行為者が何らかの方法でインド政府のネットワークにWi-Fiパイナップルのような物理的なインプラントをインストールできたことを示していた。

さらなるキャンペーンを監視している間、ルーメンは、C2がロシアのハッカーにリンクしていることが知られている3つのVPS IPアドレスと相互作用するような奇妙なネットワーク動作を観察することで、Storm-0156のネットワーク内のTurlaを発見しました。

2022年後半、TurlaはStorm-0156の複数のC2ノードに侵入し、TinyTurlaバックドアの亜種、TwoDashバックドア、Statuezyクリップボードモニター、MiniPocketダウンローダーなど、独自のマルウェアペイロードを展開していたことが判明しました。

Turlaに関連するマルウェア・ファミリーとは別に、Lumenは、パキスタンの脅威行為者のこれまでの手口とは一致しないビーコン・パターンやデータ転送にも注目しています。

Chain of compromise
標的型攻撃の連鎖
マイクロソフト

マイクロソフトによると、このアクセスは主に、外務省、情報総局(GDI)、アフガニスタン政府の外国領事館など、アフガニスタン政府機関にバックドアを導入するために使用されたという。

Turlaは、Storm-0156のコマンド・コントロール・サーバーや、すでに侵害されているターゲットにとどまらず、パキスタンの脅威行為者そのものを標的にすることで、さらに一歩踏み込んだ攻撃を仕掛けてきた。

2023年半ばまでに、ロシアの脅威行為者はStorm-0156自身のワークステーションに横方向に移動し、マルウェアツールや盗まれた認証情報やデータなどの貴重なデータにアクセスできるようになりました。マルウェアツールには、Storm-0156のCrimsonRATマルウェアや、WainscotというGoベースのリモートアクセス型トロイの木馬が含まれています。

Lumenは、国民国家グループは最先端のセキュリティ・ツールを使用して自分自身を保護することができないため、これは脅威行為者の環境では特に実行しやすいとコメントしています。

「国民国家やサイバー犯罪者のエンドポイントやマルウェアは、アクセスの監視や悪用からの保護に最新のセキュリティ・スタックを使用できないため、悪用されやすいと我々は考えています」とルーメンは説明する。

「脅威行為者がセキュリティ製品をインストールした場合、これまで知られていなかったエクスプロイトやツールが公開されることになります。

マイクロソフト社の報告によると、Turlaはインドの1台のデスクトップにマルウェアを展開するために、Storm-0156バックドアを1度だけ使用した。その代わりに、パキスタンの脅威者がインドの軍事・防衛関連機関から盗んだデータをホストするために使用したStorm-0156のサーバーにバックドアを展開しました。

マイクロソフトは、このようなより慎重なアプローチは、政治的な配慮と関連している可能性があると考えています。

Overview of Turla's operations from within Storm-0156's infrastructure
Storm-0156のインフラ内からのTurlaのオペレーション概要
出典:Lumen:ルーメン

ルーメンは、既知のコマンド・アンド・コントロール・インフラからのすべてのトラフィックをルーメンのネットワーク上でヌルルートしていると語った。

ハッカーの中のハッカー、Turla

他のアクターのインフラを悪用するTurlaのアプローチは、彼ら自身や彼らのツールセットを公開することなく、こっそりと情報を収集することを可能にし、責任を転嫁し、帰属分析を複雑にしている。

ロシアのハッカーは、イラン国家を後ろ盾とする脅威グループ「OilRig」のインフラとマルウェアを活用して複数の国に攻撃を仕掛けた2019年以来、この戦略を採用していることで知られている。

同時に、TurlaはOilRigのシステムから、キーロガーのログ、ディレクトリのリスト、ファイル、アカウントの認証情報、Neuronなどのプライベートツールのマルウェアビルダーなどのデータを盗み出した。

2022年、Mandiantは、Turlaがウクライナの「Andromeda」マルウェア被害者にバックドアを配備し、その作戦に属する3つのコマンド・アンド・コントロール・ドメインを再登録したことを報告しました。

2023年のカスペルスキーのレポートでは、Turlaが「Storm-0473」(別名「Tomiris」)から盗んだバックドアを攻撃に使用している別の例が示されています。