English
Kaspersky a lansat o nouă investigaţie asupra grupului Tomiris APT, care se concentrează pe colectarea de informaţii în Asia Centrală. Acest grup, vorbitor de limba rusă, foloseşte o mare varietate de implanturi malware dezvoltate într-un ritm rapid şi în toate limbajele de programare imaginabile, probabil pentru a împiedica atribuirea.
Ceea ce a atras atenţia cercetătorilor este faptul că Tomiris implementează malware care, anterior, a fost asociat Turla, un alt grup APT cu notorietate.
Kaspersky a descris pentru prima dată public Tomiris în septembrie 2021, în urma investigaţiei unei deturnări de DNS împotriva unei organizaţii guvernamentale din Comunitatea Statelor Independente (CSI). Pe atunci, cercetătorii observaseră asemănări neconcludente cu incidentul SolarWinds. Ei au continuat să urmărească Tomiris ca actor distinct, implicat în mai multe campanii de atac între 2021 şi 2023, iar telemetria Kaspersky a permis să facă lumină asupra setului de instrumente al grupului şi a posibilei conexiuni a acestuia cu Turla.
Atacatorul vizează entităţile guvernamentale şi diplomatice din CSI, cu scopul final de a fura documente interne. Victimele ocazionale descoperite în alte regiuni (cum ar fi Orientul Mijlociu sau Asia de Sud-Est) se dovedesc a fi reprezentanţi externi ai ţărilor CSI, ilustrând focalizarea îngustă a lui Tomiris.
Tomiris îşi urmăreşte victimele folosind o mare varietate de vectori de atac: e-mailuri de tip spear-phishing cu conţinut rău intenţionat ataşat (arhive protejate cu parolă, documente rău intenţionate, LNK-uri armate), hijacking DNS, exploatarea vulnerabilităţilor (în special ProxyLogon), descărcări suspectate drive-by şi alte metode "creative".
Ceea ce diferenţiază cele mai recente operaţiuni ale lui Tomiris este faptul că, cu un nivel de încredere medie spre mare, au folosit programe malware KopiLuwak şi TunnusSched care au fost asociate anterior cu Turla. Cu toate acestea, în ciuda împărtăşirii acestui set de instrumente, cea mai recentă cercetare a Kaspersky explică că Turla şi Tomiris sunt, foarte probabil, actori separaţi, care ar putea face schimb de informaţii în ceea ce priveşte activitatea rău intenţionată.
Tomiris este, fără îndoială, vorbitor de limbă rusă, dar ţintirea şi instrumentele sale sunt semnificativ în contradicţie cu ceea ce s-a observat pentru Turla. În plus, abordarea generală a Tomiris asupra intruziunii şi interesul limitat pentru escamotare nu se potrivesc cu instrumentele Turla documentate. Cu toate acestea, cercetătorii Kaspersky cred că partajarea instrumentelor este o dovadă potenţială a unei cooperări între Tomiris şi Turla, a cărei amploare este dificil de evaluat. În orice caz, în funcţie de momentul în care Tomiris a început să folosească KopiLuwak, o serie de campanii şi instrumente despre care se crede că sunt legate de Turla ar putea, de fapt, să necesite o reevaluare.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
