Московитська група кібер-шпигунів здійснила атаку на іранських хакерів задля атак на ще понад 35 країн. Такі дані отримали детективи під час спільного британсько-американського розслідування.
Так звана спецгрупа Turla, тісно пов’язана з московитськими розвідслужбами, схоже, перехопила методику Oilrig — спецгрупи, пов’язоної з іранським урядом (про це свідчать дані дворічного розслідування британського Національного Центру Кібербезпеки спільно з американською Аґенцією Нацбезпеки). Національний Центр Кібербезпеки є частиною організації Центру урядового зв'язку Великої Британії.
Іранська група напевно навіть не знає про те, що їхні гакерські «напрацювання» були під атакою інших гакерів-шпигунів, та були згодом ними застосованими. Так стверджують причетні до розслідування агенти безпеки.
Серед жертв гакерських атак спецгрупи – військові організації, урядові установи, наукові організації та університети в усьому світі, ба найбільше – на Близькому Сході.
Пол Чичестер, директор операційного відділу Національного Центру Кібербезпеки, описав діяльність групи Turla як «таку, що становить реальну зміну у типовому кримінальному почерку кібер-злочинців», що, за його словами, «заважає збагнути», які з підтримуваних державою кібер-груп були відповідальними за успішно проведені атаки.
«Ми пубілукємо це все через те, що Turla використовує різні професійні навички», — прокоментував він журналістам. «Ми хочемо, щоб інші змогли зрозуміти їх діяльність».
Пан Чичестер описав, як саме Turla почала «виїжджати» на атаках групи Oilrig – завдяки пильному спостереженню за іранською гакерською групою та використанню певних нелегальних лазівок в організацію чи для отримання доступу до зібраної інформації. Група Turla є також відомою як Waterbug чи Venomous Bear.
Згодом московитська група почала робити власні атаки зі застосуванням командної інфраструктури та програмного забезпечення групи. Таким чином успішних гакерських атак зазнали організації у приблизно 20 різних країнах.
“[Turla] могла скористатися операціями групи Oilrig. Вони могли зібрати певні їхні дані з операцій… Це дозволило їм здобути швидший доступ до жертв, аніж раніше,” — додав пан Чичестер. “Їхнє життя стало легшим. Це – хитромудра операція, яка дала [групі Turla] стільки інформації та доступу, скільки вони не здобули б у жоден інший спосіб.”
Кремль так і не відповів на прохання The Financial Times прокоментувати таку інформацію. Уряд Московії постійно заперечує причетність до гакерських атак на інші держави.
Президент Владімір Путін раніше цього року в інтерв’ю The Financial Times назвав заяви про організовані Москвою спроби впливу на вибори у США 2016 року “вигадками”.
Групи кібер-шпигунів дедалі частіше ховаються за допомогою «замаскованих» атак — під час них вони намагаються наслідувати дії іншої групи. Минулого року вже доповідали, що американська розвідка виявила спроби московитів зашкодити проведенню Зимових Олімпійських Ігор у Пхончхані (Південна Корея) за допомогою коду, притаманного північнокорейській гакерській групі Lazarus Group.
Але Національний Центр Кібербезпеки стверджує, що операції Turla заходять значно далі, ніж імітації, і що сама група Oilrig – також відома під назвами Crambus та APT34 – зазнала їх гакерської атаки.
“Ми ще ніколи не бачили, щоби подібне робилося настільки професійно, як у них,” — заявив пан Чичестер. “Це унікально у плані складності, масштабності та професійності. Насправді дуже важко прикидатися [іншою групою].”
Він сказав, що тепер Turla має потенціал для грабунку інших кібер-груп, які співпрацюють з державою. “У кіберпросторі стає тісно і ми бачимо, як люди доволі швидко міняються у цій сфері,” — додав пан Чичестер.
Helen Warrell, Henry Foy, The Financial Times, 21.10.2019
переклад українською — Angelica Gordon
