FOCUS ON

Turla Group e l’uso opportunistico di risorse di altri attaccanti

02 Gennaio 2025
Turla Group TS-Way cover

Turla Group è un avversario filogovernativo russo che si ritiene diretta emanazione dell’organismo di intelligence federale FSB. Attivo almeno dagli inizi degli anni 2000, gli sono state attribuite sofisticate campagne contro target di alto profilo negli USA, in Europa e Medio Oriente.

Negli ultimi due anni, è stato oggetto di analisi che ne hanno messo in evidenza una particolare strategia, basata sull’utilizzo di infrastrutture e tool di altri attaccanti.

A partire da novembre 2022 e almeno fino ad agosto 2024, Turla ha condotto una campagna di spionaggio contro target in Asia meridionale, fra cui varie entità governative e militari di Afghanistan e India.

L’operazione è stata avviata da una fase preliminare nella quale è avvenuto l’accesso all’infrastruttura dell’APT pakistano Barmanou. In particolare, Turla avrebbe compromesso i server di comando e controllo (C&C) di quest’ultimo e avrebbe utilizzato l’accesso persistente già ottenuto per distribuire i propri malware nei sistemi target. L’operazione avrebbe avuto il doppio vantaggio di svolgere le proprie attività e di acquisire le informazioni raccolte dall’altro avversario.

Tra gennaio e aprile 2024, sono state rilevate altre campagne, mirate contro obiettivi militari ucraini, nel corso delle quali Turla ha utilizzato una botnet basata su Amadey, che sarebbe stata costituita dal gruppo criminale Storm-1919, insieme a una backdoor appartenente al gruppo russo Storm-1837. In questo caso, il contesto degli avversari si è mantenuto all’interno di confini statali ben precisi, poiché la botnet as-a-service Amadey viene messa a disposizione degli attaccanti su forum russofoni.

Gli analisti valutano che negli ultimi sette anni Turla abbia utilizzato strumenti e tool di almeno altri sei avversari.

Fra 2017 e 2018, ad esempio, ha dirottato l’infrastruttura operativa e di C&C dell’APT iraniano OilRig per condurre una campagna con presunte finalità distruttive. Le analisi hanno poi dimostrato che anche due dei malware utilizzati, Neuron e Nautilus, erano parte dell’arsenale di OilRig.

L’operazione ha interessato il Sud America e una vasta fascia territoriale compresa fra Europa, Medio Oriente, Asia Meridionale e Sudest asiatico. Fra i numerosi target, soprattutto governativi, comparivano il Ministero degli Affari Esteri di un Paese europeo, due organizzazioni di tecnologie dell’informazione e della comunicazione in due paesi europei, un’organizzazione multinazionale in un paese del Medio Oriente e un istituto scolastico in un paese dell’Asia meridionale.

In quell’occasione gli analisti hanno avanzato alcune ipotesi. Una di esse, che evocava la tattica delle “false flag”, non era sembrata abbastanza robusta, considerato il fatto che Turla aveva utilizzato, in parallelo, sia l’infrastruttura di OilRig che la propria. Un’altra considerava l’eventualità di una coincidenza di target: l’avversario iraniano avrebbe compromesso una delle organizzazioni target del russo, esponendosi di conseguenza come punto di accesso iniziale per Turla. Inoltre, mettendo a sistema le precedenti, si è immaginato che Turla avesse messo in atto una tattica “false flag” solo dopo aver scoperto di essere stato preceduto da OilRig.


Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence