"יחידת עלית" של האקרים רוסים פועלת בשקט – ובעוצמה רבה

בעוד ה''דב המהודר'' עושה רעש רב בתקשורת המערבית, קבוצת Turla ממשיכה לפעול תחת המכ''ם ולהרחיב את גזרת הפעילות שלה

ההאקרים חוגגים. צילום אילוסטרציה: BigStock

קבוצת ההאקרים הרוסים Turla, אשר כוללת מומחי סייבר "מכובדים", פעילה מאד בשלוש השנים האחרונות. זאת, למרות שבתקשורת המערבית מדברים עליה הרבה פחות מחבריה בקבוצות האקרים רוסיות דומות.

על פי קספרסקי, קבוצות הריגול המקוון Turla ו-Sofacy חולקות דרכי פעולה ומטרות באסיה. חוקרי ענקית אבטחת המידע הרוסית מנטרים את ענפי הפעילות הוותיקים והשונים של קבוצת ההאקרים דוברת הרוסית Turla, המוכרת גם כ-Snake ו-Uroburos.

בדו"ח חדש שפרסמו, הם חושפים כי באחרונה החלו ב- Turla להחדיר את הנוזקה KopiLuwak בשיטה כמעט זהה לחלוטין לזו בה השתמשה רק לפני חודש Zebrocy. זו האחרונה היא מערך משנה של קבוצת Sofacy – הידועה גם כ-Fancy Bear, או APT28 – גם הוא שחקן ותיק ודובר רוסית.

מפת הפעילות של טרולה. צילום: יח"צ קספרסקי

מפת הפעילות של טרולה. צילום: יח"צ קספרסקי

מטרות חדשות של הפעילות בסוריה ובאפגניסטן

החוקרים מצאו חפיפה גם בין המטרות של שני השחקנים. אלו מרוכזות באזורים גיאופוליטיים חשובים במרכז אסיה ובגופי ממשל וצבא רגישים.

GReAT, צוות המחקר והניתוח הגלובלי של קספרסקי, הנפיק דו"ח לגבי ארבעה מערכי פעילות זדוניים המיוחסים ל-Turla.

פעילות KopiLuwak (השם נגזר מסוג נדיר של קפה) נחשפה בראשונה בנובמבר 2016, כשהיא כוללת שימוש במסמכים זדוניים ופקודות-מקרו, כדי להחדיר לקורבנות נוזקה מוסווה. זו נועדה לסריקה ולגילוי של מערכות ורשתות.

ההתפתחות האחרונה של KopiLuwak התרחשה באמצע 2018, כאשר החוקרים הבחינו במטרות חדשות של הפעילות בסוריה ובאפגניסטן. ב-Turla השתמשו בערוץ תקיפה המבוסס על פישינג ממוקד, המכיל קבצי קיצור דרך של חלונות (.LNK). ניתוח מראה כי קובץ ה- LNK הכיל PowerShell לפיענוח והנחתת המטען הזדוני של KopiLuwak. ה- PowerShell זהה כמעט לחלוטין לזה ששימש את Zebrocy רק חודש מוקדם יותר.

חפיפה במטרות של שני השחקנים

החוקרים מצאו גם חפיפה מסוימת במטרות של שני השחקנים, אשר כוללות מטרות פוליטיות ביניהן גופי מחקר ממשלתי ואבטחה, משימות דיפלומטיות ויחסים ביטחוניים, בעיקר במרכז אסיה.

מערכים נוספים של נוזקה של Turla שעקבו אחריה במהלך 2018 הם אלה הידועים כ-Carbon ו-Mosquito. על פי החוקרים, זו עדות נוספת לכך שב-Turla ניצלו רשתות Wi-Fi כדי להחדיר את הנוזקה Mosquito אל קורבנות – דרך פעולה שיעילותה נשחקת בהדרגה. החוקרים מצאו גם גרסאות של סביבת הריגול העוצמתית והוותיקה Carbon, שבאופן מסורתי הותקנה רק אצל קורבנות נבחרים בעלי עניין מיוחד.

החוקרים מצפים לראות במהלך 2019 המשך בשימוש הסלקטיבי מאוד בגרסאות נוספות של נוזקה זו. ב-2018 המטרות של מערכי הקוד הזדוני Turla הופיעו במזרח התיכון ובצפון אפריקה, וכן בחלקים ממערב ומזרח אירופה, דרום ומרכז אסיה, וצפון אמריקה.

"Turla היא אחת מקבוצות ההאקרים הוותיקות, העמידות ובעלות היכולות הגבוהות ביותר שאנו מכירים. היא ידועה בהחלפה קבועה של זהותה, כמו גם בהתנסות בגישות חדשניות", אמר קורט באומגרטנר, חוקר אבטחה ראשי, צוות GREAT, קספרסקי.

לדבריו, "המחקר שלנו מעלה כי הקבוצה ממשיכה לצמוח ולהתנסות. בעוד גורמי איום דוברי רוסית נוספים, כגון CozyDuke (APT29) ו-Sofacy תוקפים ארגונים במערב כגון הפריצה, לכאורה, של הוועידה הדמוקרטית ב- 2016 – הרי ש-Turla מפנה את הפעילות שלו בעיקר למזרח. שם הפעילות שלה, במיוחד באחרונה, החלה לחפוף למערך Zebrocy של Sofacy". לדבריו, "המחקר שלנו מעלה כי פיתוח הקוד של Turla נמשך, וארגונים המאמינים כי הם עלולים לשמש כמטרה צריכים להיערך בהתאם".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים