Zapytaj o cyberbezpieczeństwo na Zachodzie analitycy wywiadu, którzy są ich „ulubioną” grupą hakerów sponsorowanych przez zagraniczne państwo – przeciwnikiem, którego nie mogą powstrzymać, ale niechętnie podziwiają i obsesyjnie badają – i większość nie wymienia żadnej z mnóstwa grup hakerskich działających w imieniu Chin lub Północy Korea. Ani APT41 z Chin, z jego bezczelnymi atakami na łańcuchy dostaw, ani północnokoreańscy hakerzy Lazarus, którzy dokonują masowych napadów na kryptowaluty. Większość nawet nie wskaże na osławioną rosyjską grupę hakerów Sandworm, pomimo bezprecedensowych cyberataków jednostki wojskowej na sieci energetyczne lub destrukcyjny, samoreplikujący się kod.
Zamiast tego znawcy włamań komputerowych zwykle wymieniają znacznie bardziej subtelny zespół cyberszpiegów, który w różnych formach po cichu penetrował sieci na Zachodzie znacznie dłużej niż jakikolwiek inny: grupa znana jako Turla.
W zeszłym tygodniu Departament Sprawiedliwości USA i FBI ogłosiły, że udaremniły operację przeprowadzoną przez firmę Turla — znaną również pod nazwami takimi jak Venomous Bear i Waterbug — która zainfekowała komputery w ponad 50 krajach złośliwym oprogramowaniem znanym jako Snake, które Amerykańskie agencje opisane jako „premierowe narzędzie szpiegowskie” rosyjskiej agencji wywiadowczej FSB. Infiltrując sieć zhakowanych maszyn firmy Turla i wysyłając złośliwemu oprogramowaniu polecenie usunięcia samego siebie, rząd Stanów Zjednoczonych poważnie zaszkodził globalnym kampaniom szpiegowskim firmy Turla.
Ale w swoim oświadczeniu – i w dokumentach sądowych złożonych w celu przeprowadzenia operacji – FBI i Departament Sprawiedliwości poszły dalej i po raz pierwszy oficjalnie potwierdziły doniesienia grupy niemieckich dziennikarzy z zeszłego roku, z których wynikało, że Turla pracuje dla Centrum FSB 16 grupa w Riazaniu pod Moskwą. Wskazywało to również na niesamowitą długowieczność Turli jako czołowej grupy cyberszpiegowskiej: oświadczenie złożone pod przysięgą przez FBI stwierdza, że złośliwe oprogramowanie Turla’s Snake było używane przez prawie 20 lat.
W rzeczywistości Turla prawdopodobnie działa od co najmniej 25 lat, mówi Thomas Rid, profesor studiów strategicznych i historyk cyberbezpieczeństwa na Johns Hopkins University. Wskazuje na dowody na to, że to Turla – a przynajmniej rodzaj proto-Turla, który stałby się grupą, którą znamy dzisiaj – przeprowadził pierwszą w historii operację cyberszpiegowską przez agencję wywiadowczą wymierzoną w Stany Zjednoczone, wieloletnią kampanię hakerską znaną jako Labirynt w świetle księżyca.
Biorąc pod uwagę tę historię, grupa na pewno wróci, mówi Rid, nawet po ostatnim zakłóceniu przez FBI jej zestawu narzędzi. „Turla to naprawdę kwintesencja APT” — mówi Rid, używając skrótu „advanced continuous hazard”, którego branża cyberbezpieczeństwa używa w odniesieniu do elitarnych, sponsorowanych przez państwo grup hakerskich. „Jego narzędzia są bardzo wyrafinowane, niewidoczne i trwałe. Ćwierć wieku mówi samo za siebie. Naprawdę, to przeciwnik numer jeden”.
W całej swojej historii Turla przez lata wielokrotnie znikała w cieniu, by ponownie pojawić się w dobrze chronionych sieciach, w tym amerykańskiego Pentagonu, kontrahentów z branży obronnej i europejskich agencji rządowych. Ale nawet bardziej niż długowieczność, to stale rozwijająca się pomysłowość techniczna Turla – od robaków USB, przez hakowanie satelitarne, po przejmowanie infrastruktury innych hakerów – wyróżnia ją przez te 25 lat, mówi Juan Andres Guerrero-Saade, główny badacz zagrożeń w firmie ochroniarskiej SentinelOne. „Patrzysz na Turlę i jest wiele faz, w których, o mój boże, zrobili tę niesamowitą rzecz, byli pionierami tej innej rzeczy, wypróbowali sprytną technikę, której nikt wcześniej nie zrobił, przeskalowali ją i wdrożyli” – mówi Guerrero -Saad. „Są zarówno innowacyjni, jak i pragmatyczni, co czyni ich wyjątkową grupą APT do śledzenia”.
