0
0
Certas campanhas anteriormente conectadas à ameaça persistente avançada russa (APT) Turla foram realmente conduzidas pelo que parece ser um grupo totalmente separado que os pesquisadores chamaram de “Tomiris”.
Turla (também conhecido como Snake, Venomous Bear ou Ourobouros) é um notório ator de ameaças com laços com o governo russo. Ao longo dos anos, utilizou zero-days, software legítimo e outros meios para implantar backdoors em sistemas pertencentes a militares e governos, entidades diplomáticas e organizações de tecnologia e pesquisa. Em um caso, ele foi até ligado, através de seu backdoor Kazuar, à violação da SolarWinds.
Nem tudo é Turla, no entanto. Em um novo post no blog, pesquisadores da Kaspersky publicaram evidências de que certos ataques anteriormente correlacionados com o Turla foram realizados pelo Tomiris, um grupo totalmente diferente com diferentes táticas, técnicas e procedimentos (TTPs) e afiliações.
“Acreditamos firmemente que Tomiris está separado”, diz Pierre Delcher, pesquisador sênior de segurança do GReAT da Kaspersky. “Não é a mesma segmentação, nem as mesmas ferramentas, nem a mesma sofisticação que Turla.”
Separando Turla e Tomiris
A atribuição no ciberespaço é difícil. “Atores altamente qualificados usam técnicas que mascaram suas origens, tornam-se anônimos ou até mesmo se atribuem erroneamente com falsas bandeiras a outros grupos de ameaças para tirar os pesquisadores da pista”, explica Adam Flatley, ex-diretor de operações da Agência de Segurança Nacional e vice-presidente de inteligência da [Redacted]. “Muitas vezes, só podemos confiar nos erros de segurança operacional de um agente de ameaças para encontrar pistas sobre suas verdadeiras identidades.”
PUBLICIDADE
Tomiris é um exemplo disso. A Kaspersky começou a rastrear o que agora parece ter sido a atividade de Tomiris há três anos, em uma campanha de sequestro de DNS contra um governo da Comunidade de Estados Independentes (CEI). As marcas registradas dos culpados pareciam ser uma mistura de sopa russa APT. O backdoor Tomiris foi descoberto em redes ao lado do backdoor Kazuar da Turla, que tinha paralelos com o malware Sunburst usado na violação da SolarWinds.
No entanto, os detalhes que ligam Tomiris e Turla nunca se alinharam. “Os implantes que eles implantaram foram… bem, eles soaram, em comparação com o que sabíamos sobre Turla”, diz Delcher. “Então, na verdade, não havia basicamente nada em comum, e mesmo os alvos não estavam realmente se encaixando no que sabíamos dos interesses anteriores da Turla.”
A segmentação é uma pista importante. “Tomiris está muito focado em organizações governamentais na CEI, incluindo a Federação Russa”, explica Delcher, “enquanto no cenário de segurança cibernética, alguns fornecedores associam a Turla como um ator apoiado pela Rússia. Isso não faria muito sentido, se um ator patrocinado pela Rússia visasse a Federação Russa.”
Ainda este ano, a Mandiant publicou uma pesquisa sobre uma campanha da Turla na qual admitiu, em um ponto, que havia “alguns elementos dessa campanha que parecem ser um afastamento das operações históricas da Turla”. Os pesquisadores da Kaspersky, com “confiança média”, atribuíram essas descobertas às operações da Tomiris.
Conectando Turla e Tomiris
Tudo isso não quer dizer que não haja nenhuma conexão entre Tomiris e Turla.
Em ataques entre 2021 e 2023, Tomiris fez uso do KopiLuwak e do TunnusSched – duas das ferramentas maliciosas da Turla. Como eles tinham os bens de Turla, diz Delcher, “acreditamos firmemente que eles podem estar cooperando em algum momento, ou ainda podem estar cooperando agora”.
Exatamente como os grupos se conectam está em disputa. “Eles poderiam estar executando uma operação juntos”, especula Delcher, “ou poderiam confiar em uma cadeia de suprimentos semelhante. Eles poderiam, por exemplo, pedir a um desenvolvedor independente para desenvolver um backdoor, e o desenvolvedor independente o forneceu tanto para Turla quanto para Tomiris.”
Uma resposta mais definitiva será difícil de encontrar. “A única maneira de obter de forma confiável e consistente uma atribuição precisa”, lamenta Flatley, “é usar técnicas de exploração de rede de computadores que só são legalmente permitidas para as agências governamentais empregarem”.
Por que isso é importante para as empresas
Distinguir entre os agentes de ameaças não é simplesmente um exercício educacional, diz Delcher. Pode ajudar as organizações a se defenderem melhor.
Por exemplo, uma organização afetada ou preocupada com o Turla pode ver o malware Kazuar e assumir que é o trabalho desse grupo.
“Então, você pega todos os IoCs da Turla, a inteligência técnica, e aborda isso com essa suposição”, diz Delcher. “Claro, isso é equivocado porque, se eles não forem os mesmos atores, não usarão exatamente as mesmas técnicas ou os mesmos implantes. Do ponto de vista do zagueiro, você não quer acabar confuso.”
Defensores diligentes farão bem em prestar atenção às diferenças sutis entre os grupos, mas certos princípios se aplicam aos APTs.
“Os agentes de ameaças de elite ainda seguirão o caminho mais fácil se existirem, portanto, reduzir a superfície de ataque com coisas como gerenciamento agressivo de patches e implementar MFA em todas as contas possíveis ainda ajuda muito”, diz Flatley. A prevenção não é suficiente contra grupos como esse, portanto, recursos avançados de detecção e um plano para o pior cenário também são necessários. “A visibilidade, casada com um plano de resposta a incidentes bem construído e regularmente praticado, pode reduzir muito o risco associado a agentes de ameaças de todos os níveis.”
FONTE: DARK READING