.
A ciberespionagem russa um grupo conhecido como Turla tornou-se famoso em 2008 como os hackers por trás do agent.btz, um malware virulento que se espalhou pelos sistemas do Departamento de Defesa dos EUA, obtendo acesso generalizado por meio de unidades USB infectadas conectadas por funcionários do Pentágono desavisados. Agora, 15 anos depois, o mesmo grupo parece estar tentando uma nova reviravolta nesse truque: sequestrar as infecções USB de outro hackers pegam carona em suas infecções e escolhem furtivamente seus alvos de espionagem.
Hoje, a empresa de segurança cibernética Mandiant revelou que encontrou um incidente no qual, segundo ela, os hackers de Turla – amplamente acreditados para trabalhar a serviço da agência de inteligência FSB da Rússia – obtiveram acesso às redes de vítimas registrando os domínios expirados de criminosos cibernéticos de quase uma década malware que se espalha através de drives USB infectados. Como resultado, Turla foi capaz de assumir os servidores de comando e controle para esse malware, estilo caranguejo eremita, e vasculhar suas vítimas para encontrar aquelas dignas de espionagem.
Essa técnica de sequestro parece projetada para permitir que Turla não seja detectado, escondendo-se nas pegadas de outros hackers enquanto vasculha uma vasta coleção de redes. E mostra como os métodos do grupo russo evoluíram e se tornaram muito mais sofisticados na última década e meia, diz John Hultquist, que lidera a análise de inteligência na Mandiant. “Como o malware já se proliferou por USB, a Turla pode aproveitar isso sem se expor. Em vez de usar suas próprias ferramentas USB, como agent.btz, eles podem usar as ferramentas de outra pessoa”, diz Hultquist. “Eles estão pegando carona nas operações de outras pessoas. É uma maneira realmente inteligente de fazer negócios.”
A descoberta da nova técnica de Turla pela Mandiant veio à tona em setembro do ano passado, quando os socorristas da empresa encontraram uma curiosa violação de uma rede na Ucrânia, um país que se tornou o foco principal de todos os serviços de inteligência do Kremlin após a invasão catastrófica da Rússia em fevereiro passado. Vários computadores naquela rede foram infectados depois que alguém inseriu uma unidade USB em uma de suas portas e clicou duas vezes em um arquivo malicioso na unidade que estava disfarçado de pasta, instalando um malware chamado Andromeda.
O Andromeda é um trojan bancário relativamente comum que os cibercriminosos usam para roubar as credenciais das vítimas desde 2013. Mas em uma das máquinas infectadas, os analistas da Mandiant viram que a amostra do Andromeda baixou silenciosamente outros dois malwares mais interessantes. A primeira, uma ferramenta de reconhecimento chamada Kopiluwak, foi usada anteriormente por Turla; o segundo malware, um backdoor conhecido como Quietcanary que comprimiu e desviou dados cuidadosamente selecionados do computador de destino, foi usado exclusivamente por Turla no passado. “Isso foi uma bandeira vermelha para nós”, diz Gabby Roncone, analista de inteligência de ameaças da Mandiant.
Quando a Mandiant examinou os servidores de comando e controle em busca do malware Andromeda que havia iniciado a cadeia de infecção, seus analistas viram que o domínio usado para controlar a amostra Andromeda – cujo nome era uma provocação vulgar da indústria de antivírus – havia realmente expirado e foi registrado novamente no início de 2022. Olhando para outras amostras do Andromeda e seus domínios de comando e controle, a Mandiant viu que pelo menos mais dois domínios expirados foram registrados novamente. No total, esses domínios se conectaram a centenas de infecções de Andrômeda, todas as quais Turla poderia classificar para encontrar assuntos dignos de sua espionagem.
.
