Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Operazione Snowblind: Turla sfrutta le infrastrutture rivali per un sofisticato spionaggio cyber

Sandro Sana : 7 Dicembre 2024 11:46

La recente scoperta dell’operazione Snowblind, condotta dal gruppo russo Turla (noto anche come Secret Blizzard), ha rivelato una strategia di spionaggio cibernetico particolarmente sofisticata. Turla è riuscito a compromettere le infrastrutture di comando e controllo (C2) di altri gruppi di cybercriminali, utilizzandole per distribuire i propri malware e raccogliere informazioni sensibili. Questa tattica non solo complica l’attribuzione degli attacchi, ma amplia anche le capacità operative del gruppo, permettendo di sfruttare piattaforme già esistenti.

Una Campagna di Infiltrazione Complessa

Secondo un rapporto del team Black Lotus Labs di Lumen Technologies, Turla ha compromesso 33 nodi C2 utilizzati dal gruppo pakistano Storm-0156, associato a cluster di attività come SideCopy e Transparent Tribe. L’operazione, durata circa due anni, ha permesso a Turla di sfruttare l’accesso preesistente di Storm-0156 per distribuire i propri malware, tra cui TwoDash e Statuezy, in reti legate a entità governative afghane. Nell’aprile 2023, Turla ha ulteriormente ampliato le proprie operazioni penetrando nelle workstation degli operatori pakistani, ottenendo potenzialmente una vasta gamma di dati, tra cui strumenti di Storm-0156, credenziali per C2 e reti bersaglio, nonché dati esfiltrati da operazioni precedenti.

Collaborazione e Mitigazione

Lumen Technologies ha collaborato con il Microsoft Threat Intelligence Team (MSTIC) per monitorare e mitigare questa minaccia. Il rapporto di Lumen è stato pubblicato in concomitanza con un blog di MSTIC che fornisce ulteriori approfondimenti su questi eventi.

I Gruppi Coinvolti

  • Turla (Secret Blizzard): Gruppo di cyber spionaggio altamente sofisticato, operativo dagli anni ’90, noto per attacchi a governi, entità militari e il settore della difesa. Utilizza tecniche avanzate per compromettere reti, esfiltrare dati sensibili e mantenere la persistenza all’interno degli ambienti target.
  • Transparent Tribe (APT36): Gruppo sospettato di avere base in Pakistan, attivo almeno dal 2013, che prende di mira organizzazioni diplomatiche, della difesa e della ricerca in India e Afghanistan. Utilizza malware come CrimsonRAT e ha una storia di attacchi sofisticati.
  • SideCopy: Gruppo APT che imita le tattiche di Sidewinder, noto per attacchi contro l’India, utilizzando file LNK malevoli e catene di infezione complesse. Ha legami con Transparent Tribe e condivide infrastrutture e codice per attacchi coordinati.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La capacità di Turla di compromettere le infrastrutture di altri gruppi per raggiungere i propri obiettivi sottolinea la complessità e l’interconnessione del panorama delle minacce informatiche. Questa strategia non solo permette a Turla di ampliare la propria portata, ma complica anche gli sforzi di attribuzione e difesa da parte delle organizzazioni bersaglio. La collaborazione tra aziende di cybersecurity, come Lumen Technologies e Microsoft, è cruciale per identificare e mitigare tali minacce. Tuttavia, l’evoluzione continua delle tattiche utilizzate da gruppi come Turla richiede una vigilanza costante e l’adozione di misure di sicurezza proattive da parte delle organizzazioni potenzialmente a rischio.

Analisi del Flusso di Attacco

L’immagine che mappa il flusso di attacco di Turla illustra chiaramente i legami tra gli attori coinvolti, i malware utilizzati e i paesi presi di mira. Quattro sono i principali bersagli geografici: India, Pakistan, Afghanistan e la regione storica del British Indian Subcontinent. Gli obiettivi rientrano prevalentemente nelle categorie governative e del settore difesa, sottolineando il focus di Turla sulla raccolta di informazioni strategiche e militari.

In termini di strumenti, Turla ha fatto ampio uso di malware diversificati:

  • CrimsonRAT: Un malware già utilizzato da Storm-0156 per attacchi contro l’India.
  • TwoDash e Statuezy: Sviluppati internamente dal gruppo russo per eseguire operazioni mirate.
  • Waiscot: Utilizzato come strumento secondario di compromissione.

La strategia del gruppo si basa su tecniche avanzate di spionaggio, come la raccolta di credenziali (credential dumping) e il controllo remoto delle macchine compromesse, spesso sfruttando infrastrutture già operative per nascondere le proprie tracce.

La Backdoor

Un recente studio pubblicato da Hybrid Analysis ha fornito una visione dettagliata di uno degli strumenti più avanzati utilizzati dal gruppo Turla, un backdoor fileless progettato per infiltrarsi e mantenere l’accesso ai sistemi compromessi con tecniche di evasione estremamente sofisticate. Questa nuova variante, scoperta in una delle campagne attribuite a Turla, evidenzia il costante adattamento del gruppo alle moderne difese informatiche.

Tecniche di infezione e distribuzione

  • Turla ha utilizzato file di collegamento (.lnk), una metodologia già vista in campagne precedenti, per distribuire la backdoor nei sistemi target. I file LNK rappresentano un modo discreto per avviare l’esecuzione del malware, sfruttando spesso tecniche di ingegneria sociale per indurre gli utenti a interagire con essi.
  • Una volta attivato, il payload non scrive dati su disco, operando completamente in memoria (fileless). Questo approccio rende la rilevazione particolarmente difficile per i software di sicurezza tradizionali.

Capacità e funzionalità del backdoor

  • Il malware è in grado di eseguire comandi personalizzati, inclusi:
    • L’esecuzione di script PowerShell malevoli per il controllo remoto.
    • La creazione o modifica di file per espandere le capacità operative o compromettere ulteriormente i sistemi.
    • La raccolta di dati sensibili attraverso tecniche di keylogging o esfiltrazione diretta.
  • Supporta tecniche di anti-forensics, che includono:
    • La disabilitazione di Event Tracing for Windows (ETW) e Anti-Malware Scan Interface (AMSI) per ostacolare il monitoraggio e l’analisi da parte degli strumenti di sicurezza.
    • Unhooking di API Windows, una tecnica avanzata per bypassare i meccanismi di monitoraggio dei software di sicurezza.

Evasione e resilienza

  • Una delle caratteristiche più avanzate di questa backdoor è la sua capacità di mimetizzarsi all’interno del traffico legittimo della rete, utilizzando protocolli standard per comunicare con i server di comando e controllo (C2).
  • La backdoor è stata progettata per autonomamente disattivare funzioni di sicurezza integrate nei sistemi Windows, aumentando le possibilità di rimanere inosservata per lunghi periodi.

Questo strumento sottolinea il livello di sofisticazione raggiunto da Turla e il suo impegno nel migliorare continuamente le sue capacità offensive. L’uso di backdoor fileless, abbinato a tecniche avanzate di evasione, rappresenta una minaccia critica per organizzazioni che si affidano esclusivamente a strumenti di sicurezza tradizionali. Per affrontare tali minacce, è fondamentale adottare soluzioni di monitoraggio comportamentale basate su intelligenza artificiale e strategie di protezione endpoint (EDR) proattive.

Questa analisi arricchisce ulteriormente il quadro già complesso dell’operazione Snowblind, dimostrando come Turla non si limiti a sfruttare infrastrutture rivali, ma implementi costantemente strumenti tecnologicamente avanzati per rafforzare il proprio arsenale cibernetico.

Chi sono i Protagonisti?

  • Turla (Secret Blizzard): Considerato uno dei gruppi più sofisticati nel panorama delle minacce informatiche, con legami con l’intelligence russa, è attivo da decenni e si è specializzato in operazioni contro governi, entità militari e istituzioni strategiche. Ciò che distingue Turla è la sua capacità di adattarsi e innovare: la scelta di sfruttare infrastrutture di altri gruppi è un esempio lampante di questa strategia.
  • Storm-0156 (Transparent Tribe / SideCopy): Operativo dal Pakistan, è noto per i suoi attacchi contro l’India e l’Afghanistan. Utilizza spesso tecniche di spear-phishing per compromettere le reti target, distribuendo malware come CrimsonRAT. Nonostante sia meno sofisticato di Turla, Storm-0156 è comunque una presenza significativa nel panorama delle minacce regionali.

Implicazioni e Riflessioni

L’operazione Snowblind è un esempio lampante di come il panorama delle minacce informatiche sia in continua evoluzione, caratterizzato da tattiche sempre più sofisticate e inaspettate. La capacità di Turla di sfruttare le infrastrutture di altri gruppi malevoli per raggiungere i propri obiettivi non solo evidenzia la complessità tecnica del cyber spionaggio moderno, ma rappresenta anche una sfida significativa per le strategie di difesa e attribuzione.

Questo caso mette in luce la necessità di una collaborazione ancora più stretta tra organizzazioni pubbliche e private, per condividere informazioni sulle minacce e sviluppare contromisure efficaci. Le aziende, in particolare quelle che operano in settori strategici come la difesa e il governo, devono adottare un approccio proattivo alla sicurezza, monitorando costantemente le loro infrastrutture e formando il personale per riconoscere e rispondere agli attacchi.

L’operazione Snowblind ci ricorda che nel mondo digitale odierno, nessuno è immune alle minacce cibernetiche. Solo attraverso un impegno continuo, un’innovazione tecnologica costante e una consapevolezza collettiva possiamo sperare di arginare l’avanzata di attori malevoli come Turla e i loro sofisticati metodi di spionaggio.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

14,5 miliardi di dollari rubati a LuBian! E’ il più grande furto di criptovaluta della storia
Di Redazione RHC - 04/08/2025

Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata...

Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti
Di Redazione RHC - 04/08/2025

Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...

Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo
Di Redazione RHC - 04/08/2025

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...

L’IA ha fame di Energia! Al via HyperGrid, il più grande complesso nucleare privato
Di Redazione RHC - 03/08/2025

Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...

Arrestato un medico torinese per produzione di materiale pedopornografico
Di Redazione RHC - 03/08/2025

La Polizia di Stato, in esecuzione di ordinanza di custodia cautelare emessa dal GIP di Torino, ha proceduto all’arresto di un quarantenne medico torinese indagato per produzione di contenuti m...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006