Rosyjscy cyberprzestępcy podszywali się pod hakerów z Iranu
Członkowie rosyjskiej cyberszpiegowskiej grupy Turla podszywali się pod hakerów z Iranu działających w ramach grupy Oilring. Ich narzędzia wykorzystali w atakach na cele w 35 krajach, głównie na Bliskim Wschodzie - wykazało wspólne śledztwo Wlk. Brytanii i USA.
Dochodzenie przeprowadziły wspólnie brytyjskie Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Centre podlegające pod GCHQ, czyli brytyjską agencję wywiadu elektronicznego - PAP) i amerykańska Narodowa Agencja Bezpieczeństwa (NSA). Wykazało ono, że wśród celów działania grupy Turla znalazły się instytucje wojskowe, rządowe, naukowe oraz uniwersytety z wielu krajów świata. Najczęściej grupa cyberprzestępcza kierowała jednak swoje operacje przeciwko celom zlokalizowanym na Bliskim Wschodzie.
Według brytyjskich śledczych irańska grupa hakerów Oilring najprawdopodobniej nie ma świadomości, że jej metody i narzędzia zostały przejęte przez zespół cyberszpiegowski powiązany z Rosją. Zdaniem specjalistów rosyjscy hakerzy mogli w swoich działaniach wykorzystać również rezultaty działania przestępców z Oilring, pozyskując np. szczegółową wiedzę na temat atakowanych podmiotów. Turla miała dzięki temu z powodzeniem zaatakować cele w ponad 20 krajach.
Jak ocenił cytowany przez dziennik „Financial Times” dyrektor ds. operacyjnych w NCSC Paul Chichester, Turla obecnie dysponuje możliwościami hakowania innych grup hakerskich działających na zlecenie rządów oraz przejmowania ich metod operacyjnych.
Grupy cyberszpiegowskie coraz częściej maskują swoją działalność pod tzw. „fałszywymi flagami” - operacjami prowadzonymi w taki sposób, aby naśladowały sposób działania innych hakerów. W ubiegłym roku służby wywiadowcze z USA ujawniły próby zhakowania podmiotów związanych z organizacją Zimowych Igrzysk Olimpijskich w Pjongczangu w Korei Południowej przez rosyjskich cyberprzestępców. Wykorzystywali oni w swoich działaniach kod, który wcześniej wiązano z cyberatakami powiązanej z reżimem w Korei Północnej grupy Lazarus.
Kontrola nad narzędziami i metodami umożliwiającymi cyberataki w praktyce jest trudna” - ocenił w rozmowie z PAP dr Łukasz Olejnik, niezależny konsultant i badacz cyberbezpieczeństwa afiliowany przy Centre for Technology and Global Affairs Uniwersytetu Oksfordzkiego. Komentując wyniki brytyjsko-amerykańskiego śledztwa, ekspert zauważył, że „atrybucja cyberataków (przypisanie sprawstwa - PAP) to w ogólności bardzo złożony problem, także polityczny i prawny”, pokreślając, że działania pod „fałszywą flagą” dodatkowo ją komplikują.
Jak wskazał Olejnik, narzędzia i metody cyberataków mogą być powielane i rozpowszechniane, a także używane do celów innych niż te, z myślą o których zostały opracowane. „W tym przypadku (grupy Turla - PAP) właśnie to miało miejsce, bo wśród stosowanych narzędzi znajdują się i te już znane, takie jak EternalBlue użyty w 2017 roku przy fali infekcji ransomware WannaCry. Mamy więc do czynienia z grupą, która przejęła i wykorzystywała infrastrukturę i narzędzia innej grupy, która zresztą również stosowała narzędzia stworzone przez kogoś innego” - wyjaśnił specjalista.
Jak podkreślił dr Olejnik, rosyjska Turla to wyjątkowo zaawansowana organizacja hakerska, a w przeszłości celem jej zainteresowania i działań były również instytucje rządowe w Polsce.
PAP SzSz