Главная / Новости / В мире / Британские спецслужбы установили, зачем русские хакеры взломали иранских коллег
21-10-2019 (15:04)
Британские спецслужбы установили, зачем русские хакеры взломали иранских коллег
update: 21-10-2019 (15:40)
Группа российских хакеров под названием Turla взломала системы иранского объединения хакеров, известного как OilRig. Взлом понадобился россиянам, чтобы изучить инструменты иранцев для прикрытия собственных кибератак, полагают американские и британские киберэксперты.
Об этом стало известно из расследования Национального центра кибербезопасности (NCSC), начатого в 2017 года после кибератаки на британское научное учреждение. NCSC был создан в 2016 году и объединил в себе ресурсы британской электронной разведки — Центра правительственной связи (GCHQ) — и ряда других организаций в сфере кибербезопасности. Он консультирует британский бизнес в деле защиты от кибератак.
Взломщики группы Turla пытались найти инструменты иранской OilRig и скомпрометированные ею системы, выяснили эксперты центра.
Эксперты полагают, что российская группа взломала иранскую, а потом начала пользоваться ее инструментами и сетями, в которые та уже проникла, в ходе собственных операций по сбору данных и взлому других сетей.
Под этим прикрытием российские хакеры осуществили атаки против целей в 35 странах, большинство из них — на Ближнем Востоке. По меньшей мере 20 атак увенчались успехом. Хакеры собрали информацию и похитили важные документы. Атакам подверглись в том числе правительственные учреждения.
Turla получала ту же информацию, что и иранская группа, и при этом пользовалась ее инфраструктурой для собственных операций, надеясь замести следы. Жертвы атак Turla могли предполагать, что их атакуют из Ирана, хотя на самом деле атаки шли из России.
Нельзя сказать, что Иран был соучастником этих российских атак или что атаки имели целью поссорить две страны. Кибероперации становятся гораздо сложнее.
"Киберпространство становится все многолюднее", — объясняет операционный директор центра Пол Чичестер.
Чичестер говорит, что раньше не видел таких сложных кибератак. По некоторым утечкам известно, что у США и Британии тоже есть подобные возможности.
Как пояснил эксперт, россияне не имели целью подставить Иран. NCSC также не увязывает нападения с правительственными структурами России и Ирана, хотя в ряде случаев Turla связывали с ФСБ, а OilRig, предположительно, действовала в интересах иранского государства.
Расследование по большей части проводили британские эксперты, но отчет о нем был представлен совместно с американским Агентством национальной безопасности.
Детали произошедшего оглашаются для того, чтобы помочь другим распознавать подобные операции и защищаться, говорит Чичестер.
"Мы хотим дать понять, что даже если хакеры пытаются замаскироваться, наши возможности не хуже и мы их узнаем", — говорит он.
Как хакеры могут отреагировать на публикацию этой информации, чиновники предсказывать не берутся.
Как рассказал Андрей Сошников, корреспондент по кибербезопасности, Turla — одна из старейших групп русскоязычных хакеров. Также известна как Venomous Bear ("Ядовитый медведь"). Впервые еще в конце 1990-х годов исследователи из ФБР и Скотленд-Ярда нашли в коде одного из вирусов этой группы слово Vnuk, а также подписи хакеров — iron, max и rinat. Вероятно, состав группы мог поменяться, а набор программ для взлома многократно усовершенствовался. Но в основе кибероружия Turla по-прежнему лежат наработки 20-летней давности.
Группа специализируется на взломе органов власти и частных компаний, связанных с военной сферой. По данным "Лаборатории Касперского", основные цели кибератак — Казахстан, Россия, Китай, Вьетнам и США.
В 2017 году Служба информации и безопасности Чехии обвинила Turla в кибератаках на МИД и министерство обороны этой страны. Чешские спецслужбы, а также ряд компаний в сфере кибербезопасности указывают, что Turla может работать на ФСБ России.