Die russische Cyberspionage Die als Turla bekannte Gruppe wurde 2008 als Hacker hinter agent.btz berüchtigt, einer virulenten Malware, die sich über Systeme des US-Verteidigungsministeriums verbreitete und sich über infizierte USB-Laufwerke, die von ahnungslosen Pentagon-Mitarbeitern angeschlossen wurden, weit verbreiteten Zugriff verschaffte. Jetzt, 15 Jahre später, scheint dieselbe Gruppe eine neue Variante dieses Tricks zu versuchen: die Entführung der USB-Infektionen von andere Hacker können ihre Infektionen huckepack tragen und heimlich ihre Spionageziele auswählen.
Heute Cybersicherheitsfirma Mandiant aufgedeckt dass es einen Vorfall gefunden hat, bei dem, so heißt es, Turlas Hacker-Es wird allgemein angenommen, dass er im Dienst des russischen Geheimdienstes FSB arbeitet– Zugang zu den Netzwerken der Opfer erhalten, indem die abgelaufenen Domains fast zehn Jahre alter cyberkrimineller Malware registriert wurden, die sich über infizierte USB-Laufwerke verbreitete. Infolgedessen war Turla in der Lage, die Command-and-Control-Server für diese Malware im Einsiedlerkrebs-Stil zu übernehmen und ihre Opfer zu sichten, um diejenigen zu finden, die es wert sind, von Spionage angegriffen zu werden.
Diese Hijacking-Technik scheint darauf ausgelegt zu sein, dass Turla unentdeckt bleibt und sich in den Spuren anderer Hacker versteckt, während es eine riesige Sammlung von Netzwerken durchkämmt. Und es zeigt, wie sich die Methoden der russischen Gruppe entwickelt haben und in den letzten anderthalb Jahrzehnten viel ausgefeilter geworden sind, sagt John Hultquist, der die Geheimdienstanalyse bei Mandiant leitet. „Da sich die Malware bereits über USB verbreitet hat, kann Turla dies nutzen, ohne sich zu exponieren. Anstatt ihre eigenen USB-Tools wie agent.btz zu verwenden, können sie sich auf die von jemand anderem setzen“, sagt Hultquist. „Sie huckepack auf die Operationen anderer Leute. Es ist eine wirklich clevere Art, Geschäfte zu machen.“
Mandiants Entdeckung von Turlas neuer Technik kam erstmals im September letzten Jahres ans Licht, als die Einsatzkräfte des Unternehmens einen merkwürdigen Bruch eines Netzwerks in der Ukraine entdeckten, einem Land, das nach der katastrophalen Invasion Russlands im vergangenen Februar zu einem Hauptfokus aller Geheimdienste des Kremls geworden ist. Mehrere Computer in diesem Netzwerk waren infiziert worden, nachdem jemand ein USB-Laufwerk in einen ihrer Ports gesteckt und auf eine schädliche Datei auf dem Laufwerk, die als Ordner getarnt war, doppelgeklickt hatte, wodurch eine Malware namens Andromeda installiert wurde.
Andromeda ist ein relativ verbreiteter Banking-Trojaner, mit dem Cyberkriminelle bereits seit 2013 die Zugangsdaten der Opfer stehlen. Aber auf einem der infizierten Rechner sahen die Analysten von Mandiant, dass die Andromeda-Stichprobe heimlich zwei andere, interessantere Malware-Teile heruntergeladen hatte. Das erste, ein Aufklärungswerkzeug namens Kopiluwak, wurde zuvor von Turla verwendet; Die zweite Malware, eine Hintertür namens Quietcanary, die sorgfältig ausgewählte Daten komprimiert und vom Zielcomputer absaugt, wurde in der Vergangenheit ausschließlich von Turla verwendet. „Das war für uns ein Warnsignal“, sagt Gabby Roncone, Threat Intelligence Analyst bei Mandiant.
Als Mandiant die Command-and-Control-Server nach der Andromeda-Malware untersuchte, die diese Infektionskette gestartet hatte, stellten seine Analysten fest, dass die Domäne, die zur Kontrolle der Andromeda-Probe verwendet wurde – deren Name eine vulgäre Verspottung der Antivirus-Industrie war – tatsächlich abgelaufen war und wurde Anfang 2022 neu registriert. Beim Betrachten anderer Andromeda-Samples und ihrer Command-and-Control-Domains stellte Mandiant fest, dass mindestens zwei weitere abgelaufene Domains neu registriert worden waren. Insgesamt waren diese Domänen mit Hunderten von Andromeda-Infektionen verbunden, die Turla alle durchsuchen konnte, um Personen zu finden, die ihrer Spionage würdig waren.