داستان زیرزمینی تورلا، باهوش ترین گروه هکر روسیه

از امنیت سایبری غرب بپرسید تحلیلگران اطلاعاتی که “گروه مورد علاقه” آنها از هکرهای خارجی و تحت حمایت دولتی هستند – دشمنی که با اکراه آنها را تحسین می کنند و با وسواس مطالعه می کنند – و اکثر آنها از هیچ یک از گروه های هکر متعددی که به نمایندگی از چین یا کره شمالی کار می کنند نام نمی برند. نه APT41 چین با حملات وقیحانه زنجیره تامین آن، و نه هکرهای لازاروس کره شمالی که مرتکب سرقت های عظیم ارزهای دیجیتال می شوند. بسیاری حتی به گروه بدنام هکر Sandworm روسیه اشاره نمی‌کنند، علی‌رغم حملات سایبری بی‌سابقه این واحد نظامی به شبکه‌های برق یا کدهای مخرب و خود تکراری.

در عوض، کسانی که با نفوذ کامپیوتری آشنا هستند تمایل دارند به تیمی بسیار ظریف‌تر از جاسوس‌های سایبری اشاره کنند که به اشکال مختلف، بی‌سروصدا در شبکه‌های غرب برای مدت طولانی‌تری از سایرین نفوذ کرده‌اند: گروهی به نام تورلا.

به گفته مقامات آمریکایی، هفته گذشته، وزارت دادگستری ایالات متحده و FBI اعلام کردند که عملیات Turla را – که با نام‌هایی مانند خرس سمی و واترباگ نیز شناخته می‌شود – که رایانه‌های بیش از 50 کشور را به بدافزاری به نام Snake آلوده کرد، دفع کردند. آن را به عنوان “اولین ابزار جاسوسی” سرویس مخفی روسیه FSB. دولت ایالات متحده با نفوذ به شبکه ماشین های هک شده تورلا و ارسال دستور حذف خود به این بدافزار، ضربه سختی به کمپین های جاسوسی جهانی تورلا وارد کرد.

اما اف‌بی‌آی و وزارت دادگستری در اعلامیه خود – و در اسناد دادگاهی که برای انجام عملیات ثبت شده‌اند، فراتر رفتند و برای اولین بار رسماً این موضوع را تأیید کردند. گزارش گروهی از روزنامه نگاران آلمانی در سال گذشته که فاش کرد که تورلا برای گروه مرکز 16 FSB در ریازان، خارج از مسکو کار می کند. همچنین به طول عمر باورنکردنی تورلا به عنوان یک آژانس برتر جاسوسی سایبری اشاره کرد: سوگندنامه ثبت شده توسط FBI بیان می کند که بدافزار مار تورلا تقریباً 20 سال است که وجود داشته است.

توماس رید، استاد مطالعات استراتژیک و مورخ امنیت سایبری در دانشگاه جان هاپکینز، می‌گوید در واقع، تورلا حداقل 25 سال است که وجود داشته است. او به شواهدی اشاره می‌کند که نشان می‌دهد این تورلا – یا حداقل نوعی تورلا اولیه بود که تبدیل به گروهی شد که امروز می‌شناسیم – که اولین عملیات جاسوسی سایبری آژانس اطلاعاتی را علیه ایالات متحده انجام داد، یک کمپین هک چند ساله به نام Moonlight Maze.

راید می‌گوید با توجه به این داستان، گروه قطعاً بازخواهد گشت، حتی پس از اختلال اخیر FBI در جعبه ابزار آنها. رید که مخفف عبارت Advanced Persistent Threat است، می گوید: «Turla واقعاً مظهر APT است. ابزارهای او بسیار پیچیده، محجوب و پایدار هستند. ربع قرن گویای خودش است. واقعا حریف شماره یک است.»

تورلا در طول تاریخ خود، سال‌ها در سایه‌ها لغزید، اما دوباره در شبکه‌های محافظت‌شده، از جمله شبکه‌های پنتاگون ایالات متحده، پیمانکاران دفاعی و سازمان‌های دولتی اروپایی ظاهر شد. خوان آندرس گوئررو ساد، یک کارشناس ارشد می‌گوید، حتی بیش از طول عمر آن، نبوغ فنی در حال تکامل تورلا – از کرم‌های USB گرفته تا هک ماهواره‌ای گرفته تا ربودن زیرساخت‌های دیگر هکرها – است که این شرکت را در این 25 سال متمایز کرده است. محقق تهدید در شرکت امنیتی SentinelOne. “اگر به تورلا نگاه کنید، چندین مرحله وجود دارد که اوه خدای من، آنها این کار شگفت انگیز را انجام دادند، آنها پیشگامان این کار دیگر بودند، آنها یک تکنیک هوشمندانه را امتحان کردند که هیچ کس قبلاً انجام نداده بود، آنها این کار را انجام دادند، مقیاس بندی شده و اجرا شد. گوررو ساعد می گوید. “آنها هر دو مبتکر و عملگرا هستند و این آنها را به یک گروه APT بسیار ویژه برای تماشا تبدیل می کند.”