Sommario
Il gruppo di hacker russi dietro un backdoor noto come Tomiris si concentra principalmente sulla raccolta di informazioni nell’Asia Centrale, come rivelano nuovi dati emersi da Kaspersky.
Obiettivi e modus operandi di Tomiris
Secondo gli esperti di sicurezza Pierre Delcher e Ivan Kwiatkowski, l’obiettivo finale di Tomiris sembra essere il furto regolare di documenti interni. Gli hacker prendono di mira entità governative e diplomatiche della CSI (Comunità degli Stati Indipendenti). La valutazione di Kaspersky si basa su tre nuove campagne di attacco condotte dal gruppo tra il 2021 e il 2023.
Connessioni tra Tomiris e altri gruppi
Tomiris è stato scoperto per la prima volta nel settembre 2021, quando Kaspersky ha evidenziato possibili collegamenti con Nobelium (alias APT29, Cozy Bear o Midnight Blizzard), il gruppo di stato-nazione russo dietro l’attacco alla catena di fornitura di SolarWinds. Sono state inoltre individuate somiglianze tra il backdoor e un’altra famiglia di malware chiamata Kazuar, attribuita al gruppo Turla (alias Krypton, Secret Blizzard, Venomous Bear o Uroburos).
Tecniche e strumenti utilizzati
Gli attacchi di spear-phishing condotti dal gruppo si avvalgono di un “toolset poliglotta” composto da una serie di impianti “usa e getta” a bassa sofisticazione, scritti in diversi linguaggi di programmazione e impiegati ripetutamente contro gli stessi obiettivi. Oltre all’utilizzo di strumenti offensivi open source o commercialmente disponibili come RATel e Warzone RAT (alias Ave Maria), l’arsenale di malware personalizzato utilizzato dal gruppo si suddivide in tre categorie: downloaders, backdoors e ladri di informazioni.
Relazioni tra Tomiris e Turla
L’indagine di Kaspersky sugli attacchi ha individuato sovrapposizioni con un cluster Turla monitorato dalla Mandiant di Google con il nome UNC4210. Tuttavia, nonostante i possibili legami tra i due gruppi, Tomiris viene considerato distinto da Turla a causa delle differenze nei loro obiettivi e metodi operativi. Ciò solleva nuovamente l’ipotesi di un’operazione false flag. D’altro canto, è altamente probabile che Turla e Tomiris collaborino in alcune operazioni o che entrambi gli attori si affidino a un fornitore di software comune.
