Turla使用伊朗基础设施可能是机会主义的

俄罗斯政府联系的先进持续威胁（APT）Group Turla，去年揭示了劫持伊朗电脑网络运营资源，以开展攻击并混淆其活动，很可能是机会和不与伊朗人合作运作，介绍记录未来的insikt单位发布的新研究。

2019年10月，英国的国家网络安全中心（NCSC）和美国国家安全局（NSA）封锁了两年的调查，并发表了关于Turla攻击其受害者使用从APT34或Oilrig被盗的植入物的受害者的确凿证据APT组，与伊朗政府有关。

迄今为止，本集团的受害者已包括军事组织，政府部门，学术和研究机构，出版和媒体公司，目标往往对科学和能源研究和外交事务有具体的兴趣。其中许多人都位于欧洲和其他北约国家，前苏联共和国。

本集团已知其使用浇水孔攻击 - 通常使用受损的WordPress网站 - 以及矛网络钓鱼活动，但它还使用了许多更多创造性的技术，包括使用卫星来抵消偏远地区的数据。还众所周知，依靠开源软件工具，而且还专注于开发自己的恶意软件菌株。在2019年，它追溯到PowerShell攻击中的繁重。

Insikt进一步研究进入Turla - 这也是由名称蛇，Waterbug和Venomous Bear的争论 - 透露，它在迄今为止的威胁行动者中劫持APT34的资源是独一无二的，有效地达到一个国家州集团的完整收购资产另一个。

Insikt表示，虽然这是由于一些合作衡量标准，但可用的证据并不支持结论。

“例如，虽然Turla对APT34的工具和操作具有重要内容，但他们被要求扫描伊朗Web Shell，以便找到这些工具的部署位置，”报告的作者写道。“我们评估Turla对伊朗行动的插入可能是一个不协调的，因此敌对行为。

“虽然Insikt小组评估了Turla集团使用APT34基础设施的使用主要是自然的机会主义，但运营商的额外福利可能是事件响应者的欺骗，他们可能会将工具识别为伊朗原产地。”

Turla确实在这方面拥有表格，在2012年重用了中国国家归属恶意软件遗传袭击事件。其他威胁研究人员的先前评估建议Turla下载，然后卸载了Qualian，以便佩特和欺骗受害者的安全团队和调查人员。

虽然与许多其他国家州APT团体一样，Turla已经提高了对开源和商品工具的依赖，但它继续开发自己的先进恶意软件菌株 - 还原剂大鼠，首先在2019年秋季确定，被怀疑作为其中一个项目 - 以某种方式使其成为更有效的威胁。

Insikt表示，它是一个令人资助的集团，致力于改进其工具和做法，并肯定与一个具有先进网络安全功能的国家国家。

“虽然我们预计其目标和实践随着时间的推移而转变，但诺克特集团评估Turla将仍然是一个积极的，先进的威胁，这些妇女将继续具有独特的操作概念，”研究人员表示。

但是，安全团队的一篇好消息可能是，因为Turla在其攻击模式中很大一致，并且在冗长的广告系列中使用稳定和定期更新版本的独特恶意软件，因此更易于追踪和识别。

insikt集团可以从其网站上读取并下载到Turla的全面调查。