Egy feltehetően Oroszországhoz köthető kiberkémkedési hálózat több mint 60 áldozatot ejtett Ázsiában és Európában, főként a kormányzati, emberjogi és oktatási szektorban – számolt be róla a Recorded Future.
A hálózatot, elsőként 2023 májusában azonosították, és TAG-110 néven követik nyomon. Tevékenysége átfedést mutat az ukrán CERT által korábban azonosított UAC-0063 nevű támadó csoporttal, amelyet az orosz állam által támogatott APT28 csoportként (más néven: BlueDelta, Fancy Bear, Forrest Blizzard, Sednit, and Sofacy) azonosítottak be.
A TAG-110 legalább 2021 óta aktív és leginkább a kormányzati, oktatási és kutatási intézményeket veszi célba első sorban Közép-Ázsiában, Indiában, Izraelben, Mongóliában és Ukrajnában. A támadások során a HatVibe, CherrySpy, LogPie és SillArch nevű kártevőket vetették be.
A Recorded Future által leleplezett, legújabb kiberkémkedési támadássorozat főleg tádzsikisztáni, kirgizisztáni, türkmenisztáni, és kazahsztáni szervezeteket célozta, melynek során HatVibe és CherrySpy nevű eszközöket alkalmazták. A támadás érintette Örményországot, Kínát, Indiát, Görögországot, Ukrajnát, Üzbegisztánt és Magyarországot is.
2024 júliusáig a TAG-110 62 áldozatát azonosították, köztük a kazah állami olaj- és gázipari vállalat leányvállalatát a KGM-Security-t, egy tádzsik oktatási és kutatási intézményt, valamint az üzbegisztáni Nemzeti Emberi Jogok központját.
A csoport a támadások során fertőzött e-mail mellékleteket és internet felől elérhető sérülékeny szolgáltatásokat (pl.: Rejetto HTTP File Server) kihasználva szerezte meg az elsődleges hozzáférést és a HatVibe eszközt bevetve töltötték be a CherrySpy nevű rejtett belépési pontot.
A 2023 áprilisa óta használt egyedi HTML alkalmazás betöltő, a HatVibe, lehetővé teszi, hogy a támadó a saját parancs- és irányító (C2) szerveréről VBScript kódokat futtasson a megtámadott rendszeren- állítja a Recorded Future.
A CherrySpy, amit szintén 2023 április óta használnak egy egyedi phyton alapú eszköz, amely ütemezetten rejtett belépési pontot nyit a rendszerhez, melyen keresztül egy biztonságos csatorna épül ki a támadó C2 szerverével, ahonnan folyamatosan lekérdezi a futtatandó parancsokat. Ez biztosítja az áldozatok rendszereinek megfigyelését és az érzékeny adatok kiszivárogtatását.
Recorded Future véleménye szerint a TAG-110 tevékenysége összhangban áll Oroszország geopolitikai céljaival, legfőképp Közép-Ázsiában, ahol Moszkva törekszik fenntartani a befolyását az egyre feszültebb légkörben. A támadások során szerzett információk valószínűsíthetően hozzájárulnak Oroszország katonai erőfeszítésének támogatásához és a regionális helyzet megértéséhez.
