- Grupul rus de spionaj cibernetic Turla a lansat un nou backdoor .NET, STOCKSTAY, folosit împotriva Ucrainei și a entităților interesate de politica externă italiană.
Un nou instrument de spionaj cibernetic atribuit grupului rus Turla a fost descoperit de Google Threat Intelligence. Este vorba despre STOCKSTAY, un backdoor scris în .NET, care a fost folosit împotriva unor organizații guvernamentale și militare din Ucraina, dar și împotriva unor entități cu interes în politica externă a Italiei.
Ce este STOCKSTAY și cum funcționează
STOCKSTAY este un backdoor modular, conceput pentru a rămâne ascuns cât mai mult timp în sistemele compromise. Potrivit cercetătorilor Google, acesta este dezvoltat continuu de grupul Turla, ceea ce indică o investiție semnificativă în menținerea capacității ofensive. Backdoor-ul rulează pe Windows și folosește tehnici avansate de ofuscare pentru a evita detectarea.
Printre funcționalitățile sale se numără colectarea de informații, executarea de comenzi, descărcarea de fișiere suplimentare și menținerea persistenței. STOCKSTAY comunică cu servere de comandă și control (C2) prin canale criptate, ceea ce face dificilă interceptarea traficului.
Contextul atacurilor
Turla este un grup de amenințare persistentă avansată (APT) asociat cu serviciile de informații rusești. A fost activ de peste un deceniu, vizând în special guverne, ambasade și organizații militare. De data aceasta, țintele includ nu doar Ucraina – aflată în război cu Rusia – ci și entități care urmăresc politica externă italiană. Acest lucru sugerează interese strategice mai largi ale Moscovei.
Google Threat Intelligence subliniază că STOCKSTAY este folosit în campanii de spionaj bine direcționate, probabil prin e-mailuri de phishing sau exploatarea unor vulnerabilități cunoscute. Backdoor-ul permite operatorilor să extragă documente sensibile, parole și alte date critice.
Implicații pentru securitatea cibernetică
Descoperirea STOCKSTAY arată că Turla își actualizează constant arsenalul. Pentru organizațiile vizate, riscul este semnificativ: un backdoor bine ascuns poate rămâne activ luni de zile, exfiltrând date fără a fi detectat. Companiile și instituțiile ar trebui să își revizuiască măsurile de securitate, în special monitorizarea traficului de rețea și actualizarea periodică a sistemelor.
Ce înseamnă pentru tine
- Actualizează-ți sistemele: Vulnerabilitățile nepatchate sunt principala poartă de intrare pentru astfel de backdoor-uri.
- Fii atent la phishing: Turla folosește frecvent e-mailuri malițioase pentru a pătrunde în rețele. Verifică întotdeauna expeditorul și nu deschide atașamente suspecte.
- Monitorizează activitatea neobișnuită: O scădere a performanței sau trafic neașteptat către servere externe poate fi un semn al compromiterii.