Il Threat Analysis Group (TAG) di Google, il cui obiettivo principale è difendere gli utenti di Google dagli attacchi sponsorizzati dallo Stato, ha dichiarato oggi che i gruppi di minaccia sostenuti dai russi continuano a concentrare i loro attacchi sulle organizzazioni ucraine. In un rapporto sulle recenti attività informatiche nell’Europa dell’Est, Billy Leonard, ingegnere della sicurezza del TAG di Google, ha rivelato che gli hacker appartenenti al gruppo APT russo Turla sono stati avvistati mentre distribuivano il loro primo malware Android.
Gli analisti di Google TAG ritengono che gli operatori di Turla abbiano utilizzato l’applicazione StopWar per Android sviluppata da sviluppatori filo-ucraini (ospitata all’indirizzo stopwar[.]pro) per creare la loro falsa applicazione DDoS “Cyber Azov“. “Unisciti a Cyber Azov e aiuta a fermare l’aggressione russa contro l’Ucraina! Siamo una comunità di persone libere in tutto il mondo che stanno combattendo contro l’aggressione della Russia“, hanno affermato gli aggressori nella pagina di download dell’applicazione .
“Reclutiamo persone motivate che sono pronte ad aiutarci nella nostra causa. Abbiamo sviluppato un’applicazione Android che attacca l’infrastruttura Internet della Russia“. “Questo è il primo caso noto di Turla che distribuisce malware legato ad Android. Le app non sono state distribuite attraverso il Google Play Store, ma ospitate su un dominio controllato dall’attore e diffuse tramite link su servizi di messaggistica di terze parti“, ha spiegato Leonard.
“L’app viene distribuita con il pretesto di eseguire attacchi Denial of Service (DoS) contro una serie di siti web russi. Tuttavia, il ‘DoS’ consiste solo in una singola richiesta GET al sito web bersaglio, non sufficiente per essere efficace“. Leonard ha aggiunto che Google TAG ritiene che finora non vi sia stato alcun impatto rilevante sugli utenti Android e che il numero effettivo di volte in cui l’app dannosa Cyber Azov è stata installata è minimo.
Turla ha iniziato a orchestrare campagne di furto di informazioni e spionaggio mirate a reti e sistemi appartenenti a governi, ambasciate e strutture di ricerca in oltre 100 Paesi almeno dal 1996. Rintracciato anche come Waterbug e Venomous Bear, questo gruppo è stato precedentemente collegato al Servizio di sicurezza federale russo (FSB). Sono i principali sospettati degli attacchi al Pentagono e alla NASA, al Comando centrale degli Stati Uniti, ai ministeri degli Esteri dell’Europa orientale e al ministero degli Esteri finlandese.
Turla è stato anche collegato alla violazione di un ente governativo europeo non rivelato, utilizzando una combinazione di trojan di amministrazione remota (RAT) e backdoor basati su chiamate di procedura remota (RPC).
Questo gruppo di minacce è noto soprattutto per le tattiche poco ortodosse dei suoi operatori, tra cui l’utilizzo di trojan backdoor con le proprie API e il controllo del malware tramite i commenti alle foto di Britney Spears su Instagram. Hanno anche dirottato l’infrastruttura e il malware dell’APT iraniana OilRig e li hanno utilizzati nelle proprie campagne per fuorviare e ingannare i difensori e far attribuire i loro attacchi agli hacker di Stato iraniani.
Più recentemente, questo gruppo di hacker russi ha utilizzato backdoor e trojan per l’accesso remoto in attacchi rivolti a governi e ambasciate dell’UE.
A maggio, inoltre, Google TAG ha dichiarato di aver osservato gli hacker di Turla che hanno inviato e-mail di phishing di credenziali in attacchi contro organizzazioni ucraine di difesa e sicurezza informatica.
Un malware collegato all’APT russo Turla è apparso sui dispositivi Android
