Sommario
Il gruppo di cyber-spionaggio Turla, noto anche come “Secret Blizzard”, continua a sfruttare infrastrutture di altri hacker per colpire dispositivi critici in Ucraina. Utilizzando malware avanzati come Tavdig e KazuarV2, Turla si concentra su bersagli di alto valore, tra cui dispositivi militari connessi tramite Starlink, dimostrando una strategia sofisticata e mirata per raccogliere intelligence sul campo.
Tecniche e infrastruttura utilizzate da Turla
Turla ha recentemente sfruttato l’infrastruttura della botnet Amadey e il malware di un altro gruppo russo, Storm-1837, per distribuire i propri strumenti malevoli. In alcuni casi, Turla ha utilizzato Amadey per scaricare un dropper PowerShell che caricava payload personalizzati come Tavdig.
Questi attacchi iniziano con email di phishing contenenti allegati malevoli o backdoor che sfruttano vulnerabilità note, come la falla di WinRAR CVE-2023-38831. Gli strumenti di Turla sono poi utilizzati per identificare e compromettere dispositivi di interesse strategico, inclusi quelli che utilizzano connessioni Starlink, cruciali per le comunicazioni militari.
Malware Tavdig e KazuarV2: armi principali di Turla
Tavdig e KazuarV2 sono componenti fondamentali nell’arsenale di Turla.
- Tavdig: progettato per stabilire una presenza iniziale sui dispositivi compromessi, raccoglie credenziali, configura reti e scarica payload aggiuntivi.
- KazuarV2: un backdoor stealth per la raccolta di dati sensibili e l’esecuzione di comandi. Grazie alla sua capacità modulare, KazuarV2 può essere adattato per missioni di spionaggio specifiche.
Questi malware operano in modo silente, iniettandosi in processi legittimi come “explorer.exe”, rendendo difficile il rilevamento da parte dei sistemi di sicurezza.
Obiettivi e significato geopolitico
Le operazioni di Turla, legate all’FSB russo, dimostrano una sofisticata strategia di spionaggio cibernetico volta a raccogliere informazioni critiche sulle attività militari ucraine. L’utilizzo di infrastrutture altrui, come botnet Amadey e il malware Cookbox di Storm-1837, non solo permette di mascherare l’origine degli attacchi, ma amplifica l’efficacia delle operazioni. Target prioritari includono dispositivi di comunicazione militare connessi a Starlink, una risorsa essenziale per le truppe in prima linea.
Raccomandazioni di sicurezza
Microsoft suggerisce diverse misure di mitigazione per contrastare le attività di Turla:
- Monitorare le reti per rilevare l’uso di dropper PowerShell e attività sospette correlate ad Amadey.
- Verificare i dispositivi connessi a sistemi critici, come quelli che utilizzano Starlink, per identificare eventuali anomalie.
- Implementare le query di caccia e i suggerimenti forniti da Microsoft per individuare le attività di Tavdig e KazuarV2.
Collaborazione internazionale
Questi attacchi sottolineano la necessità di un’efficace collaborazione tra i governi e il settore privato per proteggere le infrastrutture critiche. I rapporti forniti da Microsoft e altri esperti di sicurezza sono cruciali per anticipare e neutralizzare operazioni di questa portata.
Gli attacchi cibernetici di Turla contro l’Ucraina rappresentano una delle più avanzate operazioni di spionaggio del panorama attuale. Attraverso strumenti modulari e infrastrutture camuffate, il gruppo mostra un alto grado di adattabilità, richiedendo risposte altrettanto sofisticate per proteggere risorse critiche e comunicazioni sensibili.
