Wspólne brytyjsko-amerykańskie śledztwo wykazało, że irańscy hakerzy z grupy OilRig padli ofiarą rosyjskiej cyberszpiegowskiej grupy Turla. Rosjanie podszywali się pod Irańczyków, stosując ich narzędzia i metody, by przeprowadzać ataki na instytucje wojskowe, rządowe, naukowe oraz uniwersytety z wielu krajów świata.
Dochodzenie przeprowadziły wspólnie brytyjskie Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Centre podlegające pod GCHQ, czyli brytyjska agencja wywiadu elektronicznego - red.) i amerykańska Narodowa Agencja Bezpieczeństwa (NSA).
35 zaatakowanych celów
Śledztwo rozpoczęli Brytyjczycy w 2017 roku po ataku hakerskim na jeden z brytyjskich akademików. NCSC odkryło wówczas, że przeprowadziła je rosyjska grupa o nazwie Turla, która - jak odkryto - stosowała metody i narzędzia, używane przez irańskich hakerów z grupy OilRig.
Przy pomocy NSA udało się wykazać, że wśród celów działania rosyjskiej grupy znalazły się instytucje wojskowe, rządowe, naukowe oraz uniwersytety w 35 państwach. 20 z nich miało zakończyć się sukcesem. Najczęściej grupa przestępcza kierowała jednak swoje operacje przeciwko celom zlokalizowanym na Bliskim Wschodzie.
Według brytyjskich śledczych irańska grupa hakerów OilRig najprawdopodobniej nie ma świadomości, że jej metody i narzędzia zostały przejęte przez zespół cyberszpiegowski powiązany z Rosją. Zdaniem specjalistów rosyjscy hakerzy mogli w swoich działaniach wykorzystać również rezultaty działania przestępców z OilRig, pozyskując np. szczegółową wiedzę na temat atakowanych podmiotów.
W sieci "zaczyna się robić tłoczno"
Jak ocenił cytowany przez BBC dyrektor ds. operacyjnych w NCSC Paul Chichester, Turla obecnie dysponuje możliwościami hakowania innych grup hakerskich działających na zlecenie rządów oraz przejmowania ich metod operacyjnych.
W sieci "zaczyna robić się bardzo tłoczno" - stwierdził.
Chichester wyznał, że nie widział wcześniej tak wyrafinowanego cyberataku. Jak dodał, chodzi o to, aby pomóc innym wykrywać podobną działalność i móc się przed nią bronić.
- Chcemy wysłać jasną wiadomość: nawet kiedy hakerzy próbują zamaskować swoją tożsamość, jesteśmy w stanie ich zidentyfikować - zaznaczył.
Grupy cyberszpiegowskie coraz częściej maskują swoją działalność pod tzw. "fałszywymi flagami" - operacjami prowadzonymi w taki sposób, aby naśladowały sposób działania innych hakerów. W ubiegłym roku służby wywiadowcze USA ujawniły próby zhakowania podmiotów związanych z organizacją Zimowych Igrzysk Olimpijskich w Pjongczangu w Korei Południowej przez rosyjskich cyberprzestępców. Rosjanie wykorzystywali w swoich działaniach kod, który wcześniej wiązano z cyberatakami powiązanej z reżimem w Korei Północnej grupy Lazarus.
Ekspert: kontrola cyberataków jest trudna
- Kontrola nad narzędziami i metodami umożliwiającymi cyberataki w praktyce jest trudna - ocenił w rozmowie z Polską Agencją Prasową dr Łukasz Olejnik, niezależny konsultant i badacz cyberbezpieczeństwa afiliowany przy Centre for Technology and Global Affairs Uniwersytetu Oksfordzkiego.
Komentując wyniki brytyjsko-amerykańskiego śledztwa, ekspert zauważył, że "atrybucja cyberataków (przypisanie sprawstwa - red.) to w ogólności bardzo złożony problem, także polityczny i prawny", podkreślając, że działania pod "fałszywą flagą" dodatkowo ją komplikują.
Jak wskazał Olejnik, narzędzia i metody cyberataków mogą być powielane i rozpowszechniane, a także używane do celów innych niż te, z myślą o których zostały opracowane. - W tym przypadku (grupy Turla - red.) właśnie to miało miejsce, bo wśród stosowanych narzędzi znajdują się i te już znane, takie jak EternalBlue użyty w 2017 roku przy fali infekcji ransomware WannaCry. Mamy więc do czynienia z grupą, która przejęła i wykorzystywała infrastrukturę i narzędzia innej grupy, która zresztą również stosowała narzędzia stworzone przez kogoś innego - wyjaśnił specjalista.
Jak podkreślił dr Olejnik, rosyjska Turla to wyjątkowo zaawansowana organizacja hakerska, a w przeszłości celem jej zainteresowania i działań były również instytucje rządowe w Polsce.
Autor: momo/adso/kwoj / Źródło: PAP, BBC