El ciberespionaje ruso El grupo conocido como Turla se hizo famoso en 2008 como los piratas informáticos detrás de agent.btz, una pieza virulenta de malware que se propagó a través de los sistemas del Departamento de Defensa de EE. UU. y obtuvo acceso generalizado a través de unidades USB infectadas conectadas por personal del Pentágono que no sospechaban nada. Ahora, 15 años después, el mismo grupo parece estar probando un nuevo giro en ese truco: secuestrar las infecciones USB de otro piratas informáticos para aprovechar sus infecciones y elegir sigilosamente sus objetivos de espionaje.
Hoy, la firma de seguridad cibernética Mandiant reveló que encontró un incidente en el que, dice, los piratas informáticos de Turla, que se cree que trabajan al servicio de la agencia de inteligencia FSB de Rusia, obtuvieron acceso a las redes de las víctimas al registrar los dominios vencidos de ciberdelincuentes de casi una década. malware que se propaga a través de unidades USB infectadas. Como resultado, Turla pudo hacerse cargo de los servidores de comando y control para ese malware, al estilo del cangrejo ermitaño, y tamizar a sus víctimas para encontrar las que merecían ser objeto de espionaje.
Esa técnica de secuestro parece diseñada para permitir que Turla permanezca sin ser detectada, escondiéndose dentro de las huellas de otros piratas informáticos mientras revisa una vasta colección de redes. Y muestra cómo los métodos del grupo ruso han evolucionado y se han vuelto mucho más sofisticados durante la última década y media, dice John Hultquist, quien dirige el análisis de inteligencia en Mandiant. “Debido a que el malware ya proliferó a través de USB, Turla puede aprovechar eso sin exponerse. En lugar de utilizar sus propias herramientas USB como agent.btz, pueden instalarse en las de otra persona”, dice Hultquist. “Se están aprovechando de las operaciones de otras personas. Es una forma realmente inteligente de hacer negocios”.
El descubrimiento de Mandiant de la nueva técnica de Turla salió a la luz por primera vez en septiembre del año pasado, cuando el personal de respuesta a incidentes de la compañía encontró una curiosa brecha en una red en Ucrania, un país que se ha convertido en el foco principal de todos los servicios de inteligencia del Kremlin después de la catastrófica invasión de Rusia en febrero pasado. Varias computadoras en esa red se infectaron después de que alguien insertó una unidad USB en uno de sus puertos e hizo doble clic en un archivo malicioso en la unidad que se había disfrazado como una carpeta, instalando una pieza de malware llamada Andromeda.
Andromeda es un troyano bancario relativamente común que los ciberdelincuentes han utilizado para robar las credenciales de las víctimas desde 2013. Pero en una de las máquinas infectadas, los analistas de Mandiant vieron que la muestra de Andromeda había descargado silenciosamente otras dos piezas de malware más interesantes. La primera, una herramienta de reconocimiento llamada Kopiluwak, ha sido utilizada anteriormente por Turla; la segunda pieza de malware, una puerta trasera conocida como Quietcanary que comprimía y desviaba datos cuidadosamente seleccionados de la computadora de destino, ha sido utilizada exclusivamente por Turla en el pasado. “Esa fue una bandera roja para nosotros”, dice Gabby Roncone, analista de inteligencia de amenazas de Mandiant.
Cuando Mandiant examinó los servidores de comando y control del malware Andromeda que había iniciado esa cadena de infección, sus analistas vieron que el dominio utilizado para controlar la muestra de Andromeda, cuyo nombre era una burla vulgar de la industria antivirus, en realidad había expirado y se volvió a registrar a principios de 2022. Al observar otras muestras de Andromeda y sus dominios de comando y control, Mandiant vio que se habían vuelto a registrar al menos dos dominios vencidos más. En total, esos dominios se conectaron a cientos de infecciones de Andrómeda, todas las cuales Turla pudo revisar para encontrar sujetos dignos de espiar.