Key takeaways
- Bedreigingsactoren die banden hebben met Rusland voeren een cyberspionagecampagne gericht op organisaties in Centraal-Azië, Oost-Azië en Europa.
- TAG-110 gebruikt aangepaste malwaretools, HATVIBE en CHERRYSPY, om doelwitten te compromitteren sinds ten minste 2021, met de nadruk op overheidsinstanties, mensenrechtengroepen en onderwijsinstellingen.
- Analyse toont een concentratie van slachtoffers in Tadzjikistan, Kirgizië, Kazachstan, Turkmenistan en Oezbekistan, wat suggereert dat Centraal-Azië een primaire focus is voor de dreigingsactor.
Bedreigingsactoren die banden hebben met Rusland zijn waargenomen terwijl ze een cyberspionagecampagne uitvoerden gericht op organisaties in Centraal-Azië, Oost-Azië en Europa. Dit cluster van activiteiten, TAG-110 genoemd door de Insikt Group van Recorded Future, sluit aan bij andere dreigers zoals UAC-0063 van het Computer Emergency Response Team van Oekraïne (CERT-UA) en APT28. Sinds ten minste 2021 gebruikt TAG-110 aangepaste malwaretools, HATVIBE en CHERRYSPY, om hun doelwitten te compromitteren.
Deze tools zijn voornamelijk gericht op overheidsinstanties, mensenrechtengroepen en onderwijsinstellingen. HATVIBE fungeert als een loader om CHERRYSPY te implementeren, een Python backdoor die is ontworpen voor het exfiltreren van gegevens en spionagedoeleinden. CERT-UA documenteerde het gebruik van deze malwarefamilies voor het eerst eind mei 2023 tijdens een aanval op Oekraïense overheidsinstanties. Zowel HATVIBE als CHERRYSPY doken een jaar later opnieuw op bij een volgende inbraak op een niet nader genoemd wetenschappelijk onderzoeksinstituut in Oekraïne.
Geografische focus
Uit analyse blijkt dat er sindsdien minstens 62 unieke slachtoffers zijn gevallen in elf landen, met opvallende incidenten in Tadzjikistan, Kirgizië, Kazachstan, Turkmenistan en Oezbekistan. Deze concentratie suggereert dat Centraal-Azië een primaire focus is voor de dreiger, mogelijk om informatie te verzamelen die de geopolitieke doelen van Rusland in de regio ondersteunt. Een kleiner aantal slachtoffers is ook geïdentificeerd in Armenië, China, Hongarije, India, Griekenland en Oekraïne.
Tactieken, technieken en procedures
De aanvalsketens van TAG-110 bestaan meestal uit het uitbuiten van kwetsbaarheden in webtoepassingen voor het grote publiek, zoals Rejetto HTTP File Server en phishing e-mails als initiële toegangsvectoren. Deze tactieken worden gebruikt om HATVIBE te leveren, een aangepaste HTML-applicatielader die het gebruik van de CHERRYSPY-backdoor voor het verzamelen en exfiltreren van gegevens vergemakkelijkt. Recorded Future is van mening dat de activiteiten van TAG-110 waarschijnlijk bijdragen aan een bredere Russische strategie die is gericht op het verzamelen van inlichtingen over geopolitieke ontwikkelingen en het behouden van invloed in de voormalige Sovjetstaten. Deze focus wordt gedreven door gespannen relaties na de Russische invasie in Oekraïne, waardoor deze regio’s van strategisch belang zijn voor Moskou.
Hybride oorlogsvoering
Rusland heeft zijn sabotage op Europese infrastructuur geïntensiveerd sinds de invasie van Oekraïne in februari 2022. Doelwitten zijn onder meer NAVO-bondgenoten Estland, Finland, Letland, Litouwen, Noorwegen en Polen met als doel ze te destabiliseren en hun steun aan Oekraïne te ontwrichten. Deze geheime acties passen in de hybride oorlogsvoeringstrategie van Rusland, dat de militaire capaciteiten van de NAVO wil verzwakken, politieke allianties onder druk wil zetten en uiteindelijk verdeeldheid wil zaaien onder zijn tegenstanders.
Recorded Future verwacht dat als de spanningen tussen Rusland en het Westen hoog blijven, Rusland waarschijnlijk de ernst van zijn sabotageoperaties zal escaleren zonder zijn toevlucht te nemen tot een direct conflict met de NAVO. Deze fysieke aanvallen zouden een aanvulling zijn op bestaande cyber- en beïnvloedingscampagnes, waardoor de veelzijdige hybride oorlogsdoctrine van Rusland wordt versterkt.
Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!