image

NSA: Turla-groep kaapte infrastructuur andere APT-groep

maandag 21 oktober 2019, 14:42 door Redactie, 3 reacties

Een Advanced Persistent Threat (APT)-groep genaamd Turla die voor de Russische overheid zou werken heeft de infrastructuur, malware en tools van een andere APT-groep gekaapt die voor de Iraanse overheid werkzaam zou zijn, zo stellen de Amerikaanse en Britse overheid in een gezamenlijk rapport.

APT-groepen zijn volgens securitybedrijven en onderzoekers vaak statelijke actoren of groepen die in dienst van een land opereren. De Amerikaanse geheime dienst NSA en het Britse National Cyber Security Centre (NCSC) stellen dat ze de Turla-groep malware en tools van een vermeende Iraanse APT hebben zien gebruiken. "Turla testte de tools eerst tegen slachtoffers die ze al hadden gecompromitteerd via hun Snake-toolkit, en rolde de Iraanse tools vervolgens uit naar andere slachtoffers", aldus het rapport.

De Turla-groep zou ook actief hebben gezocht naar de backdoors van de andere APT-groep om zo toegang tot systemen van potentieel interessante doelwitten te krijgen. Het ging om webshells die door de Iraanse APT-groep waren geïnstalleerd, maar door Turla werden gebruikt om nieuwe slachtoffers te maken. Tevens wist Turla de command & control-infrastructuur van de Iraanse APT-groep te compromitteren om zo hun eigen tools en malware te verspreiden.

Volgens de NSA en het NCSC paste de Turla-groep deze werkwijze voornamelijk toe in het Midden-Oosten, waar de interesses van beide APT-groepen elkaar zouden overlappen. "Hoewel attributie van aanvallen en het auteurschap van tools erg lastig te bewijzen kan zijn, laat het bewijsmateriaal zien dat Turla toegang tot Iraanse tools had en de mogelijkheid om ze voor hun eigen doeleinden te gebruiken", zo stellen beide overheidsdiensten, die opmerken dat de Iraanse APT hier bijna zeker niets van afwist.

Reacties (3)
21-10-2019, 22:40 door [Account Verwijderd]
Sinds de leugens die verteld werden door de Bush regering, en daarna bevestigd door Edward Snowden, heb ik geen NSA, FBI of welke andere TLA meer vertrouwd. Ze zijn simpelweg niet te vertrouwen. En deze informatie, ach het zal wel.
22-10-2019, 12:17 door Anoniem
Sinds de leugens die verteld werden door de Bush regering, en daarna bevestigd door Edward Snowden, heb ik geen NSA, FBI of welke andere TLA meer vertrouwd. Ze zijn simpelweg niet te vertrouwen. En deze informatie, ach het zal wel.

Als malware analyst, die dagelijke bezig is met onderzoeken van APT's kan ik je bevestigen dat de bevindingen kloppen.
22-10-2019, 14:55 door Anoniem
L.S.

Interessante achtergrond-info om kennis van te nemen:
https://www.baesystems.com/en/cybersecurity/feature/the-snake-campaign

Gebruik van dit Python toolkit plug-in systeem voor kwaadaardig gebruik.

Dit staat ook bekend onder de naam, Agent.BTZ malware, de Autorun worm,
die via pendrives infecteert, Pendrives hier meer bekend zijnd als usb sticks.

Een bron van inspiratie voor cyber-agenten en cybercriminele minkukels:
https://www.f-secure.com/v-descs/worm_w32_agent_btz.shtml

Uiteindelijk belandt zulk "APTgereedschap" weer bij de cybercriminelen,
o.a. ransomeware verspreiders, (net als via het combineren van
het bij een NSA breach ontsnapte EternalBlue en het door een researcher ontwikkelde MimiKatz).
En zo is dan het onveiligheidskringetje dan wel weer rondgebreid.

Het schoonmaken van de MBR puinhoop, als je wil betalen aan de cybercrimineel,
kost je 300 euro in Bitcoin. Maar moeilijke keus als je met rug tegen de muur staat?
Back-upjes maken kost iets minder.

C:\Windows\ sysWow64.cmd.exe via specifieke command prompts checken ook.
We hebben erkende malware fighters nu meer nodig dan ooit.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.