La storia sotterranea di Turla, il gruppo di hacker più ingegnoso della Russia
Andy Greenberg
Chiedete agli analisti occidentali dell’intelligence sulla sicurezza informatica chi è il loro gruppo “preferito” di hacker sponsorizzati da stati stranieri – l’avversario che non possono fare a meno di ammirare a malincuore e studiare ossessivamente – e la maggior parte non nominerà nessuno della moltitudine di gruppi di hacker che lavorano per conto di Cina o Corea del Nord. Non l’APT41 cinese, con le sue sfrontate ondate di attacchi alla catena di approvvigionamento, né gli hacker nordcoreani Lazarus che mettono a segno massicci furti di criptovaluta. La maggior parte non indicherà nemmeno il famigerato gruppo di hacker russo Sandworm, nonostante gli attacchi informatici di blackout senza precedenti dell'unità militare contro le reti elettriche o il codice auto-replicante distruttivo.
Invece, gli intenditori di intrusioni informatiche tendono a nominare una squadra di cyberspie molto più astuta che, in varie forme, è penetrata silenziosamente nelle reti in Occidente per molto più tempo di qualsiasi altra: un gruppo noto come Turla.
La settimana scorsa, il Dipartimento di Giustizia degli Stati Uniti e l'FBI hanno annunciato di aver smantellato un'operazione di Turla, noto anche con nomi come Venomous Bear e Waterbug, che aveva infettato computer in più di 50 paesi con un malware noto come Snake, che il Le agenzie statunitensi vengono descritte come il "principale strumento di spionaggio" dell'agenzia di intelligence russa FSB. Infiltrandosi nella rete di macchine hackerate di Turla e inviando al malware un comando per cancellarsi, il governo degli Stati Uniti ha inflitto una grave battuta d'arresto alle campagne globali di spionaggio di Turla.
Ma nel suo annuncio - e negli atti giudiziari depositati per portare a termine l'operazione - l'FBI e il Dipartimento di Giustizia sono andati oltre, e hanno confermato ufficialmente per la prima volta la segnalazione di un gruppo di giornalisti tedeschi l'anno scorso che rivelava che Turla lavora per il Centro 16 dell'FSB. gruppo a Ryazan, fuori Mosca. Ha anche accennato all'incredibile longevità di Turla come uno dei migliori gruppi di spionaggio informatico: una dichiarazione giurata depositata dall'FBI afferma che il malware Snake di Turla era in uso da quasi 20 anni.
In effetti, Turla opera probabilmente da almeno 25 anni, afferma Thomas Rid, professore di studi strategici e storico della sicurezza informatica alla Johns Hopkins University. Indica le prove che è stato Turla, o almeno una sorta di proto-Turla che sarebbe diventato il gruppo che conosciamo oggi, a eseguire la prima operazione di cyberspionaggio da parte di un'agenzia di intelligence che prendeva di mira gli Stati Uniti, una campagna di hacking pluriennale nota come Labirinto al chiaro di luna.
Considerando questa storia, il gruppo tornerà assolutamente, dice Rid, anche dopo l'ultima interruzione del suo kit di strumenti da parte dell'FBI. "Turla è davvero l'APT per eccellenza", afferma Rid, usando l'abbreviazione di "advanced persistent threat", un termine che l'industria della sicurezza informatica utilizza per i gruppi di hacking d'élite sponsorizzati dallo stato. "I suoi strumenti sono molto sofisticati, furtivi e persistenti. Un quarto di secolo parla da solo. Davvero, è l'avversario numero uno."
Nel corso della sua storia, Turla è ripetutamente scomparsa nell’ombra per anni, per poi riapparire all’interno di reti ben protette, tra cui quelle del Pentagono statunitense, degli appaltatori della difesa e delle agenzie governative europee. Ma ancor più della sua longevità, è l'ingegnosità tecnica in continua evoluzione di Turla - dai worm USB, all'hacking satellitare, al dirottamento dell'infrastruttura di altri hacker - che lo ha distinto in questi 25 anni, afferma Juan Andres Guerrero-Saade, a capo dell'intelligence sulle minacce. ricerca presso la società di sicurezza SentinelOne. "Guarda Turla, e ci sono più fasi in cui, oh mio Dio, hanno fatto questa cosa straordinaria, sono stati pionieri di quest'altra cosa, hanno provato qualche tecnica intelligente che nessuno aveva mai fatto prima e l'hanno adattata e implementata", dice Guerrero -Saade. "Sono sia innovativi che pragmatici, e questo li rende un gruppo APT molto speciale da monitorare."
Brenda Stolyar
Will Cavaliere
Personale CABLATO
Medea Giordano
Ecco una breve storia dei due decenni e mezzo di spionaggio digitale d'élite di Turla, che risale agli inizi della corsa agli armamenti di spionaggio sponsorizzata dallo stato.
Quando il Pentagono iniziò a indagare su una serie di intrusioni nei sistemi governativi statunitensi come un’unica, estesa operazione di spionaggio, andava avanti da almeno due anni e stava trafugando segreti americani su vasta scala. Nel 1998, gli investigatori federali scoprirono che un misterioso gruppo di hacker si aggirava nei computer collegati in rete della Marina e dell'Aeronautica americana, così come in quelli della NASA, del Dipartimento dell'Energia, dell'Agenzia per la Protezione dell'Ambiente, della National Oceanic and Atmospheric Administration, una manciata di università statunitensi e molte altre. Una stima paragonerebbe il bottino totale degli hacker a una pila di documenti alta tre volte il monumento a Washington.