Turla

Russiske hackere brukte iranske trusselaktører som fasade

Skal ha fått omfattende tilgang til både verktøy, ofre og etterretning.

Turla skal være blant de eldste cyberspionasjonegruppene man vet om.
Turla skal være blant de eldste cyberspionasjonegruppene man vet om. (Bilde: Kaspersky Lab via YouTube)

Skal ha fått omfattende tilgang til både verktøy, ofre og etterretning.

Det er ofte vanskelig å si noe sikkert om hvor et cyberangrep stammer fra, i alle fall dersom man utelukkende har de benyttede IP-adressene. Disse kan tilhøre uskyldige ofre for de samme angriperne, som bruker disse kaprede datamaskinene som en fasade for nettopp å skjule hvem de selv er. 

Det er heller ikke uvanlig at trusselgrupper fra ulike land forsøker å legge skylden på hverandre gjennom falsk flagg-operasjoner, hvor de blant annet tyvlåner hverandres angrepsverktøy. 

Derimot er det heller sjelden at én trusselgruppe bryter seg inn i angrepsplattformen til en annen og kjører hele kampanjen ved hjelp av denne. Men dette skal nå ha skjedd. 

Iransk maskering

Britiske National Cyber Security Centre (NCSC) og amerikanske National Security Agency (NSA) har sammen utgitt en rapport hvor de beskriver hvordan russisktalende trusselaktøren Turla (også kjent som blant annet Waterbug og Venemous Bear) ikke bare har brukt IP-adresser som skal være assosiert med iranske cybertrusselaktører, slik som APT34 (også kjent som OilRig og Crambus), men også, i mange tilfeller, kommando- og kontrollinfrastrukturen og selve angrepsverktøyene til slike iranske aktører.

NCSC og NSA er temmelig sikre på at dette har skjedd uten at de som står bak de antatt iranske angrepsverktøyene er klar over eller har vært delaktige i dette.

Turla skal også ha fått betydelig innsikt i operasjonene til de berørte, iranske trusselgruppenes taktikker, teknikker og prosedyrer. Dette inkluderer lister over aktive ofre, akkreditiver og krypteringsnøkler for å få tilgang og å sende kommandoer til allerede installerte bakdører og annen skadevare, samt kildekoden til flere av angrepsverktøyene. 

Flere kjente verktøy

Blant annet skal den russiske trusselgruppen ha kunnet sende kommandoer til et ASPX-basert webshell som settes opp av rootkit-skadevaren Snake. Dette gjøres ved hjelp av krypterte verdier i HTTP-cookies. Dette hadde ikke vært mulig uten kjennskap til hvilke krypteringsnøkler som er brukt. I rapporten til NCSC og NSA nevnes også flere andre skadevareverktøy som skal ha iransk opphav, inkludert Neuron og Nautilus. Også disse skal Turla ha tatt i bruk. 

Les også

Turla skal også ha tatt i brukt kontroll- og kommandoinfrastrukturen til iranske trusselaktører – blant annet et kontrollpanel kalt Poison Frog – for å rulle ut sine egne angrepsverktøy til nye ofre. 

Det har blitt observert at skadevare utplasseres fra IP-adresser assosiert med iranske trusselaktører, som senere har blitt aksessert fra infrastruktur knyttet til Turla.

Primært rettet mot Midtøsten

Ifølge NCSC og NSA ser det ut til at Turlas aktiviteter i stor grad foregår i Midtøsten, en region som også iranske APT34 har mye aktivitet i. Gruppen er spesielt opptatt av mål knyttet til andre nasjoners myndigheter, forsvar, teknologi og energiforsyning, men også kommersielle virksomheter. Hensikten er ulovlig informasjonsinnsamling, også kjent som spionasje.

Virksomheten til Turla gjennom den iranske infrastrukturen skal være rettet mot mål med IP-adresser i minst 35 land. 

Les også

NCSC og NSA opplyser i liten grad kilder for denne informasjonen, men trolig stammer mye fra observasjoner gjort via såkalte honningkrukker – sårbare datamaskiner som er utplassert av sikkerhetsaktører for å lokke til seg cyberangrep – samt fra virkelige ofre som har blitt utsatt for angrep. Det vises også til tidligere rapporter om de samme verktøyene, blant annet fra Symantec. 

Uklart

Det som skurrer litt i den nye rapporten, er omtalen av verktøyene kalt Neuron og Nautilus. Disse omtales nå som iranske, men i en rapport som NCSC kom med allerede i januar i fjor, omtales Neuron og Nautilus som verktøy som allerede da Turla benytter, uten at Iran er nevnt overhodet.

Det gis ingen forklaring på denne endringen. 

Klar beskjed

– Det å identifisere de som er ansvarlige for angrep, kan være veldig vanskelig, men bevisene peker mot at Turla-gruppen står bak denne kampanjen, sier Paul Chichester, operasjonssjef ved NCSC, i en pressemelding. 

– Vi ønsker å sende et klar beskjed om at selv om cyberaktører forsøker å maskere identiteten sin, greier vi til slutt å identifisere dem, sier han videre.

Den mest effektive måten å redusere risikoen for angrep, er ifølge de to sikkerhetsetatene å stadig installere de nyeste sikkerhetsoppdateringene. Dette gjelder all program- og maskinvare, fra nettlesere til nettverksutstyr som rutere.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen