Rosyjski aktor cybernetyczny Secret Blizzard wykorzystuje cudze złośliwe oprogramowanie do ataków w Ukrainie
Rosyjska grupa cybernetyczna, znana jako Secret Blizzard, została zidentyfikowana jako odpowiedzialna za wykorzystanie złośliwego oprogramowania stworzonego przez innych aktorów zagrożeń w celu instalacji backdoora Kazuar na urządzeniach ofiar w Ukrainie. Jak wynika z raportu zespołu ds. wywiadu zagrożeń firmy Microsoft, działania te miały miejsce między marcem a kwietniem 2024 roku, a celem były systemy powiązane z ukraińskim wojskiem. W ten sposób grupa ponownie wykorzystała cyberprzestępczą infrastrukturę do propagowania własnych narzędzi – podobne działania zaobserwowano już w 2022 roku.
Współpraca z cyberprzestępcami
Secret Blizzard, nazywany również Turla, posługuje się zróżnicowanymi wektorami ataków, co potwierdza ich strategię polegającą na „przechwytywaniu” dostępu innych grup. Firma Microsoft wskazuje, że aktor ten korzystał z botnetu Amadey do pobierania niestandardowego złośliwego oprogramowania na starannie wyselekcjonowane systemy. Amadey, działający w modelu malware-as-a-service (MaaS), umożliwił grupie zainfekowanie urządzeń, po czym instalowano kod prowadzący do serwerów C2 kontrolowanych przez Secret Blizzard.
Eksperci Microsoft zauważyli, że kod PowerShell droppera, zawierający ładunek Amadey, został zakodowany w Base64 i zaopatrzony w dodatkowy segment, wskazujący na serwer Turla. Fakt, że konieczne było dodatkowe kodowanie, może świadczyć o tym, że Secret Blizzard nie miał bezpośredniej kontroli nad infrastrukturą Amadey, co podkreśla specyfikę technik obfuscacji tej grupy.
Cel: rozpoznanie i długoterminowy dostęp
Ataki Secret Blizzard zazwyczaj rozwijają się w kilku etapach. W początkowej fazie infekcji pobierane są narzędzia rozpoznawcze, które zbierają informacje o zainfekowanym systemie, takie jak konfiguracja urządzenia i obecność narzędzi ochronnych, np. Microsoft Defender. Następnie wgrywane są zaawansowane backdoory, w tym Tavdig, który umożliwia dalsze rozpoznanie i instalację kolejnych narzędzi, takich jak KazuarV2.
W atakach wykorzystano również lukę w autoryzowanym oprogramowaniu Symantec, co pozwoliło na zastosowanie techniki znanej jako DLL side-loading. Takie podejście umożliwia załadowanie złośliwego kodu przy użyciu legalnych plików wykonywalnych, unikając w ten sposób wykrycia przez standardowe mechanizmy ochrony.
Infrastruktura innych grup jako narzędzie
Secret Blizzard znany jest z przejmowania infrastruktury innych grup hakerskich, co pozwala na utrzymanie anonimowości i utrudnia przypisanie ataków do konkretnej organizacji. W ostatnich działaniach grupa wykorzystała także backdoor COOKBOX, który wcześniej był powiązany z innym rosyjskim aktorem zagrożeń, Flying Yeti (znanym również jako Storm-1837). Działania te pokazują, że Secret Blizzard potrafi skutecznie integrować narzędzia różnych grup w swoje operacje.
Warto wspomnieć o niedawnym raporcie Microsoft i Lumen Technologies Black Lotus Labs, który ujawnił, że Turla przejęła 33 serwery C2 należące do pakistańskiej grupy Storm-0156, aby przeprowadzać własne operacje. Takie działania nie tylko zwiększają skuteczność ataków, ale także pozwalają na ukrycie śladów prowadzących do rzeczywistych sprawców.
Wyrafinowana strategia i globalny zasięg
Secret Blizzard koncentruje swoje ataki na strategicznych celach, w tym ministerstwach spraw zagranicznych, ambasadach, biurach rządowych i firmach związanych z obronnością na całym świecie. Ich celem jest uzyskanie długoterminowego, ukrytego dostępu do kluczowych danych wywiadowczych. Wykorzystywanie cudzych narzędzi i infrastruktury to nie tylko sposób na zwiększenie skuteczności ataków, ale także metoda na zmylenie analityków cyberbezpieczeństwa i utrudnienie przypisania działań do konkretnej grupy.
Według ekspertów, takie techniki obfuscacji stają się coraz bardziej popularne w działalności sponsorowanych przez państwa grup hakerskich. Dzięki przejmowaniu infrastruktury innych aktorów zagrożeń, takich jak botnety czy serwery C2, grupy takie jak Secret Blizzard mogą skutecznie ukrywać swoje ślady i realizować cele wywiadowcze bez narażania integralności swoich własnych zasobów.
Podsumowanie
Ostatnie odkrycia dotyczące Secret Blizzard pokazują, jak zaawansowane i wyrafinowane są współczesne kampanie cyberzagrożeń. Wykorzystywanie infrastruktury innych grup, technik takich jak DLL side-loading czy rozwiniętych backdoorów, takich jak Tavdig i Kazuar, to przykład ciągłego ewoluowania zagrożeń w świecie cyfrowym. Analitycy podkreślają, że takie działania wymagają stałego monitorowania i zaawansowanych technologii ochrony, aby skutecznie przeciwdziałać tego rodzaju zagrożeniom.
