جاسوسی سایبری روسیه گروهی که به ،وان Turla شناخته می شود در سال 2008 به ،وان هکرهای پشت سر agent.btz بدنام شد، یک قطعه ب،زار م،ب که در سیستم های و، دفاع ایالات متحده پخش شد و از طریق درایوهای USB آلوده که توسط کارکنان پنتاگون وصل شده بودند، دسترسی گسترده ای به دست آورد. اکنون، 15 سال بعد، به نظر می رسد که همان گروه در حال تلاش برای یک ترفند جدید است: ربودن عفونت های USB از دیگر هکرها به عفونتهای خود کمک میکنند و مخفیانه اه، جاسوسی خود را انتخاب میکنند.
امروز، شرکت امنیت سایبری Mandiant آشکار کرد که یک حادثه پیدا کرده است که در آن، هکرهای تورلا-به طور گسترده ای اعتقاد بر این است که در خدمات آژانس اطلاعاتی FSB روسیه کار می کند– با ثبت دامنه های منقضی شده ب،زار مجرمان سایبری نزدیک به ده ساله که از طریق درایوهای USB آلوده منتشر می شوند، به شبکه های قرب، دسترسی پیدا کرد. در نتیجه، Turla توانست سرورهای فرمان و کنترل آن ب،زار، سبک زاهدانه ،چنگ را در اختیار بگیرد و قرب،ان خود را برای یافتن قرب،، که شایسته هدف گذاری جاسوسی هستند، جستجو کند.
به نظر میرسد که این تکنیک ربودن به گونهای طراحی شده است که به تورلا اجازه میدهد شناسایی نشود و در رد پای سایر هکرها پنهان شود و در حالی که مجموعهای از شبکهها را بررسی میکند. جان هالتکوئیست، سرپرست تجزیه و تحلیل اطلاعاتی در Mandiant میگوید: و این نشان میدهد که چگونه روشهای گروه روسی در یک دهه و نیم گذشته تکامل یافته و بسیار پیچیدهتر شدهاند. از آنجایی که ب،زار قبلاً از طریق USB ت،یر شده است، Turla می تواند بدون افشای خود از آن استفاده کند. به جای استفاده از ابزارهای USB خود مانند agent.btz، آنها می توانند روی ابزار دیگران بنشینند. «آنها به عملیات دیگران دست می زنند. این یک روش واقعاً هوشمندانه برای انجام تجارت است.»
کشف تکنیک جدید تورلا توسط Mandiant برای اولین بار در سپتامبر سال گذشته آشکار شد، زم، که پاسخ دهندگان حادثه شرکت متوجه نقض عجیب یک شبکه در اوکراین شدند، کشوری که پس از تهاجم فاجعه بار روسیه در فوریه گذشته به کانون اصلی تمام خدمات اطلاعاتی ،لین تبدیل شده است. چندین کامپیوتر در آن شبکه پس از اینکه شخصی یک درایو USB را در یکی از پورت های خود قرار داد و روی یک فایل م،ب در درایو که به ،وان یک پوشه مبدل شده بود دوبار کلیک کرد و یک ب،زار به نام آندرومدا را نصب کرد، آلوده شده بودند.
آندرومدا یک تروجان بانکی نسبتاً رایج است که مجرمان سایبری از اوایل سال 2013 از آن برای سرقت اطلاعات هویتی قرب،ان استفاده می ،د. اما در یکی از دستگاه های آلوده، تحلیلگران Mandiant مشاهده ،د که نمونه آندرومدا بی سر و صدا دو قطعه ب،زار جالب دیگر را دانلود کرده است. اولی، یک ابزار شناسایی به نام Kopiluwak، قبلا توسط Turla استفاده شده است. دومین قطعه ب،زار، درب پشتی معروف به Quietcanary که دادههای انتخاب شده را با دقت از رایانه مورد نظر فشرده و سیفون میکرد، در گذشته منحصراً توسط Turla استفاده شده است. گابی رون،، تحلیلگر اطلاعات تهدید Mandiant می گوید: «این یک پرچم قرمز برای ما بود.
زم، که Mandiant به سرورهای فرمان و کنترل ب،زار Andromeda که زنجیره عفونت را راهاندازی کرده بود نگاه کرد، تحلیلگران دریافتند که دامنه مورد استفاده برای کنترل نمونه آندرومدا – که نامش ط،های مبتذل از صنعت آنتی ویروس بود – در واقع منقضی شده است. در اوایل سال 2022 مجدداً ثبت شد. با نگاهی به سایر نمونههای آندرومدا و دامنههای فرمان و کنترل آنها، Mandiant متوجه شد که حداقل دو دامنه منقضی دیگر دوباره ثبت شدهاند. در مجموع، این دامنهها به صدها عفونت آندرومدا متصل بودند، که تورلا میتوانست همه آنها را برای یافتن سوژههایی که شایسته جاسوسی هستند، مرتب کند.
منبع: https://www.wired.com/story/russia-turla-fsb-usb-infection/