Russische hackers implementeren HATVIBE- en CHERRYSPY-malware in heel Europa en Azië

Bedreigingsactoren met banden met Rusland zijn in verband gebracht met een cyberspionagecampagne gericht op organisaties in Centraal-Azië, Oost-Azië en Europa.

De Insikt Group van Recorded Future, die het activiteitencluster de naam TAG-110 heeft gegeven, zei dat het overlapt met een dreigingsgroep die door het Computer Emergency Response Team van Oekraïne (CERT-UA) wordt gevolgd als UAC-0063, die op zijn beurt overlapt met APT28. De hackploeg is in ieder geval sinds 2021 actief.

“Met behulp van aangepaste malwaretools HATVIBE en CHERRYSPY valt TAG-110 voornamelijk overheidsinstanties, mensenrechtenorganisaties en onderwijsinstellingen aan”, zei het cyberbeveiligingsbedrijf in een rapport van donderdag. “HATVIBE functioneert als een lader om CHERRYSPY in te zetten, een Python-achterdeur die wordt gebruikt voor data-exfiltratie en spionage.”

Het gebruik van HATVIBE en CHERRYSPY door TAG-110 werd eind mei 2023 voor het eerst gedocumenteerd door CERT-UA in verband met een cyberaanval gericht op overheidsinstanties in Oekraïne. Beide malwarefamilies werden ruim een ​​jaar later opnieuw opgemerkt bij een inbraak in een niet nader genoemde wetenschappelijke onderzoeksinstelling in het land.

Sindsdien zijn maar liefst 62 unieke slachtoffers in elf landen geïdentificeerd, met opmerkelijke incidenten in Tadzjikistan, Kirgizië, Kazachstan, Turkmenistan en Oezbekistan, wat aangeeft dat Centraal-Azië een primair aandachtsgebied is voor de dreigingsactoren in een waarschijnlijke poging om inlichtingen die de geopolitieke doelstellingen van Rusland in de regio onderbouwen.

Een kleiner aantal slachtoffers is ook ontdekt in Armenië, China, Hongarije, India, Griekenland en Oekraïne.

HATVIBE- en CHERRYSPY-malware

Aanvalsketens omvatten het exploiteren van beveiligingsfouten in openbare webapplicaties (bijvoorbeeld Rejetto HTTP File Server) en phishing-e-mails als een initiële toegangsvector om HATVIBE te laten vallen, een op maat gemaakte HTML-applicatielader die dient als kanaal voor het inzetten van de CHERRYSPY-achterdeur voor gegevensverzameling en exfiltratie.

“De inspanningen van TAG-110 maken waarschijnlijk deel uit van een bredere Russische strategie om informatie te verzamelen over geopolitieke ontwikkelingen en om invloed te behouden in post-Sovjetstaten”, aldus Recorded Future. “Deze regio’s zijn belangrijk voor Moskou vanwege de gespannen relaties na de Russische invasie van Oekraïne.”

Er wordt ook aangenomen dat Rusland zijn sabotageoperaties in de Europese kritieke infrastructuur heeft opgevoerd na zijn grootschalige invasie van Oekraïne in februari 2022, waarbij het zich richtte op Estland, Finland, Letland, Litouwen, Noorwegen en Polen met als doel de NAVO-bondgenoten te destabiliseren en hun bondgenoten te ontwrichten. steun voor Oekraïne.

“Deze geheime activiteiten sluiten aan bij de bredere hybride oorlogsstrategie van Rusland, die tot doel heeft de NAVO-landen te destabiliseren, hun militaire capaciteiten te verzwakken en politieke allianties onder druk te zetten”, aldus Recorded Future, die de inspanningen omschrijft als “berekend en aanhoudend.”

“Aangezien de betrekkingen tussen Rusland en het Westen vrijwel zeker beladen zullen blijven, is het zeer waarschijnlijk dat Rusland de destructiviteit en dodelijkheid van zijn sabotageoperaties zal vergroten zonder de drempel van oorlog met de NAVO te overschrijden, zoals besproken in de Gerasimov-doctrine. Deze fysieke aanvallen zullen waarschijnlijk een aanvulling vormen op de Russische inspanningen op het gebied van cyber- en beïnvloedingsoperaties, in overeenstemming met de hybride oorlogsdoctrine van Rusland.”

Thijs Van der Does