Методы хакерской группировки Turla, которая провела множество успешных атак на США, не меняются на протяжении нескольких десятилетий. Несмотря на противодействие американских спецслужб, членам группировки удается взламывать спутники и заражать компьютеры, не подключенные к интернету, — все ради того, чтобы получать ценные сведения. И хотя недавно Министерство юстиции США объявило, что ликвидировало глобальную сеть устройств, зараженных вирусом, за которым стоит Turla, в действительности оказалось, что речь шла только о восьми компьютерах. «Лента.ру» разобралась в истории Turla и выяснила, почему в США считают, что группировка напрямую связана с российскими спецслужбами.
«Лабиринт лунного света», ведущий в Москву
В 1998 году обычный IT-специалист из небольшой американской компании по производству специализированных материалов ATI-Corp, проверяя активность внутренней сети, наткнулся на нечто странное. Он обратил внимание на то, что каждое воскресенье ровно в три часа ночи кто-то выполнял подключение с офисных компьютеров к сети авиабазы Райт-Паттерсон, на которой размещена штаб-квартира Главного командования ВВС США. Немного поразмыслив, сотрудник компании, имя которого до сих пор засекречено, позвонил в несколько ведомств, занимающихся информационной безопасностью страны.
Так в США началось расследование одной из крупнейших на тот момент кибератак, целью которой был шпионаж. Оно получило кодовое обозначение Moonlight Maze («Лабиринт лунного света»). Расследование привело американских детективов сначала в Лондон, оттуда — в Москву, а в итоге — в Рязань. Именно там, по устоявшемуся в ЦРУ, АНБ и ФБР мнению, расквартирована хакерская группировка Turla. Западные силовики считают, что все ее члены — сотрудники Центра 16 Федеральной службы безопасности России.
Название подразделения — Центр радиоэлектронной разведки на средствах связи. В открытых источниках о нем практически нет информации. Известно, что в обязанности сотрудников Центра входят перехват, дешифровка и обработка электронных сообщений.
Преобразовано из Главного управления радиоэлектронной разведки средств связи Федерального агентства правительственной связи и информации. Во времена Советского Союза носило название 16-го Управления (радиоразведки) КГБ СССР.
Долгое время расследование велось полностью секретно. Лишь спустя год тему обсудили в Конгрессе США, а издание Newsweek посвятило этому небольшую статью. В ней Moonlight Maze назвали первой в истории «попыткой России получить доступ к американским технологиям», а занимавший тогда пост заместителя министра обороны США Джон Хамри заявил, что страны находятся «в эпицентре кибервойны».
К тому моменту уже было известно, что некто (в США решили, что за этим стояли российские спецслужбы) смог создать распределенную по всей Америке цепочку зараженных особенным вирусом устройств. Каждое из них становилось элементом огромной электронной системы, ключевой задачей которой стал поиск уязвимостей в сетях государственных ведомств США, в том числе Минобороны, разведки и других министерств. На протяжении как минимум трех лет — с 1996 по 1999 год — создатели вируса систематически подключались сначала к чужим компьютерам, а уже через них — к государственным системам. Владельцы скомпрометированных устройств, понятное дело, ни о чем не догадывались.
составила бы высота стопки распечатанных секретных документов, украденных с 1996 по 1999 год в США
В «Лаборатории Касперского», аналитики которой в середине 2010-х внесли огромный вклад в расследование еще засекреченного дела, размах шпионажа называют монументальным. В частности, удалось выяснить, что хакеры заражали в основном сети университетов и небольших компаний внутри США. Это было нужно для того, чтобы трафик на этом этапе оставался внутри страны и не выглядел подозрительным для самих военных и госслужащих. Но в обратную сторону данные шли через единый прокси-сервер в Лондоне. И здесь была допущена единственная ошибка создателей вируса: один из входящих каналов связи с этим сервером вел в Москву. В публикациях того времени упоминалось, что кто-то из хакеров использовал соединение через модем с российским телефонным номером, другие источники указывали точкой подключения к прокси-серверу в Великобритании Российскую академию наук.
На протяжении нескольких месяцев следователи из США наблюдали за активностью лондонского прокси-сервера. Но потом сведения о кибершпионаже дошли до конгрессменов, получили огласку, и киберпреступники прекратили всякую активность. Спустя полтора десятилетия специалисты «Лаборатории Касперского» первыми выдвинули теорию, которая сейчас в США считается доказанной: за Moonlight Maze стоит группировка, которая с годами трансформировалась в Turla.
Хакеры из Turla воровали данные в 50 странах
В 2023 году, спустя 25 лет после создания комиссии по делу Moonlight Maze, Министерство юстиции США объявило о завершении операции под кодовым названием «Медуза». Сотрудники ФБР по санкции суда Нью-Йорка получили физический доступ к компьютерам в разных регионах страны, каждый из которых был заражен вредоносным программным обеспечением под названием Snake.
«Министерство юстиции совместно с нашими международными партнерами ликвидировало глобальную сеть зараженных вредоносным ПО компьютеров, которые российское правительство использовало в течение почти двух десятилетий для ведения кибершпионажа, в том числе против наших союзников по НАТО», — безапелляционно заявил генеральный прокурор США Меррик Б. Гарланд».
Под «глобальной сетью» понимается лишь восемь устройств внутри США и неустановленное количество за пределами страны. При этом сотрудники Минюста сами признались, что Snake был удален только с американских компьютеров. На всех остальных компьютерах, число которых неизвестно, вирус остался. В Вашингтоне считают, что вирус использовался «для кражи конфиденциальных документов из сотен компьютерных систем по меньшей мере в 50 странах, в том числе входящих в НАТО». Ранние версии Snake, по данным ФБР, носили название Uroburos.
«ФСБ начала разработку Uroburos в конце 2003 года. Она была завершена примерно в начале 2004 года, и вскоре после этого с использованием ПО были проведены первые кибероперации», — пишет в своих показаниях специальный агент ФБР Тейлор Форри, который руководил последним расследованием.
Операциями с вредоносными программами Snake управляет известное подразделение Центра 16 ФСБ России. Правительство США наблюдало за офицерами ФСБ, проводившими ежедневные операции с использованием Snake из учреждения ФСБ в Рязани. Отмечалось увеличение активности Snake в часы работы этого учреждения — примерно с 7:00 до 20:00 по московскому времени
Несмотря на то что и пресс-релиз Минюста, и показания Форри большей частью состоят из обвинений в адрес России, которая «цинично пытается скрыть свои преступления» против НАТО, в них нашлось место и для информативных частей. Выяснилось, например, что активность Snake отслеживалась правительством США все 20 лет его существования. Нанести удар по его инфраструктуре удалось с помощью разработанного в ФБР «вируса для вирусов» Perseus, который мешает Snake затаиваться на зараженных устройствах, самовоспроизводиться и распространяться по сети. Происходит это с помощью специальных проколов связи, из-за чего западные разведчики испытывали серьезные сложности с поиском инфицированных компьютеров.
Обыватели не знали о Turla до 2014 года
И хотя американские спецслужбы утверждают, что они следили за Snake в течение 20 лет, в публичном поле о Turla заговорили лишь в середине 2010-х. Тогда в американских СМИ писали, что хакеры (которых сразу же связали с российскими спецслужбами), конечно, не прочь заполучить секретные документы из США, но куда больший интерес для них представляют правительства и вооруженные структуры других государств.
В тот период атакам подверглись посольства США в Бельгии, Китае, Иордании, Греции, Казахстане, Армении, Польше, Германии и на Украине. Хотя не исключено, что все они были лишь связующим звеном в цепочке распространения вредоносного ПО. Исследователи из уже несуществующей компании Symantec утверждали, что в мае 2012 года были атакованы устройства премьер-министра одной из бывших республик Советского Союза, что в дальнейшем привело к заражению еще 60 компьютеров. Кроме того, в списках жертв значились министерство здравоохранения западноевропейской страны, министерство образования центральноамериканской страны, государственный поставщик электроэнергии на Ближнем Востоке и медицинская организация в США.
На тот момент появилась еще одна улика, косвенно указывающая на связь хакеров с Россией. После исследования кода использованного вируса обнаружилось, что в нем встречались строчки на русском языке. Также у некоторых разработчиков были ники, написанные кириллицей
По словам исследователей, если вирус заражал одно устройство в компании, к концу дня его можно было найти уже на 40 компьютерах. Он использовал преимущественно уязвимости нулевого дня — такие бреши в защите программного обеспечения и серверов, о которых не знали даже их разработчики. Как выяснилось позже, во время заражения вирус стремился сделать так, чтобы оставить возможность для восстановления на тот случай, если его удалят. Кроме того, исполнение хакерского кода начиналось еще до запуска операционной системы. В те годы такие вирусы считались крайне сложными, а стандартные антивирусные программы их не замечали.
При этом к распространению вируса хакеры подходили творчески. В одной серии атак они рассылали поддельные электронные письма от имени военного атташе посольства одной из стран Ближнего Востока: во вложении, которое было замаскировано под протоколы встреч, на самом деле оказывался Uroburos. Сегодня такая схема стала обычной практикой промышляющих фишингом киберпреступников, но в первой половине 2010-х методы Turla оказались революционными.
Turla распространяла вирусы через флешки и заражала спутники
Спустя десять лет после Moonlight Maze и за шесть лет до обнародования факта существования Turla хакеры снова поставили Министерство обороны США в тупик. Тогда выяснилось, что неизвестным вирусом заражена засекреченная сеть Центрального командования Министерства обороны США. Загвоздка состояла в том, что эта сеть была изолирована от внешнего мира и никогда не подключалась к интернету. Тем не менее киберпреступникам удалось проникнуть в нее и на протяжении неизвестного периода времени наблюдать за происходящим. Сам факт этой атаки Пентагон подтвердил лишь спустя два года.
Как выяснилось потом, вирус, получивший название Agent.btz, попадал на компьютеры с зараженных флешек. Кто именно принес девайсы и подключил их к сверхсекретной сети Минобороны, так и осталось загадкой (либо же эти сведения засекретили). Тогда не исключалось, что это был один из первых случаев применения еще одной распространенной ныне практики: хакеры могли оставить на парковке перед зданием министерства несколько флешек с символикой оборонного ведомства. Обязательные сотрудники, думая, что кто-то потерял носитель с важными или даже секретными документами, захотели бы подобрать его, а чтобы узнать данные о владельце, пришлось бы соединить его с компьютером. В этот момент Agent.btz переходил в атаку.
Вирус продолжал распространяться, и в 2014 году в «Лаборатории Касперского» доказали, что Uroburos — это продвинутая версия Agent.btz. К тому моменту количество зараженных устройств снижалось третий год подряд (с 63 тысяч в 2011 году до 14 тысяч в 2013-м). Как выяснилось позже, это было связано с усовершенствованием Agent.btz сначала в Uroburos, а затем в Snake.
В 2015 году исследователи из «Лаборатории Касперского» обнаружили еще более дерзкую тактику Turla. Хакеры взламывали каналы спутниковой связи (фактически сами спутники), после чего дешифровали идущий через них трафик. Помимо полученных таким способом ценных сведений, киберпреступники еще и определяли конкретные IP-адреса, с которых поступают интересующие их данные, после чего точечно заражали связанные с ними устройства.
В число основных жертв этой методики попали неустановленные люди из стран Ближнего Востока и Африки: Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Эксперты по информационной безопасности назвали эту схему блестящей и утонченной, а стоимость ее реализации составляла всего тысячу долларов в год
Последняя крупная акция, которую приписывают Turla, также вызвала восторг у независимых наблюдателей. По данным ИБ-компании Mandiant, хакеры обратились к наработкам своих коллег — разработчиков банковского трояна Andromeda. Те в начале 2010-х собрали из зараженных устройств целый ботнет — систему из многих устройств, которые можно использовать для DDoS-атак или дальнейшего заражения, при том что их владельцы даже не подозревают о существовании проблемы.
Киберпреступники из Turla перехватили контроль над доменами, использовавшимися создателями Andromeda, а потом получили контроль над всей сетью инфицированных устройств. После этого банковский вирус начал устанавливать на них ПО, которое до этого в своих атаках применяла Turla. Таким образом хакеры смогли просмотреть все компьютеры гигантского ботнета, проверив, есть ли на них что-либо, представляющее интерес. Что любопытно, значительное количество проверенных с помощью этого способа устройств имели украинские IP-адреса.
***
Несмотря на то что исследователям доступны многие данные о Turla, количество публикаций об этой группировке в мире остается незначительным — особенно с учетом масштабов ее деятельности. Это можно связать как с тем, что часть информации остается засекреченной, так и с тем, что хакеры из Turla крайне гибко реагируют на усилия западных спецслужб. Созданные ими вирусы постоянно эволюционируют, а о самых крупных атаках становится известно лишь спустя годы после их начала.