Как пишет The Washington Post, специалисты CrowdStrike уверены, что Turla состоит из русскоговорящих хакеров, которые работают по заказу правительства РФ. Эту группу в американской компании прозвали «Злобный медведь» (Venomous Bear). Turla специализируется на атаках на дипломатические и военные цели в США, Европе, странах Ближнего Востока и Центральной Азии. Главной целью хакеров является политическая и стратегическая разведка. По мнению Альперовича, Turla не является группировкой, которая стоит за атаками на Государственный департамент, Белый дом и Министерство обороны США, которые были осуществлены в 2014-2015 годах. За этими инцидентами стоит другая группировка, прозванная в CrowdStrike «Уютный медведь» (Cozy Bear).
Напомним, что на прошлой неделе «Лаборатория Касперского» сообщила о том, что русскоязычная кибергруппировка Turla (другое ее название «Уроборос») скрывается от преследования с помощью спутников. Хакеры, стоящие за сложной и масштабной кампанией кибершпионажа Turla, используют уязвимость в глобальных спутниковых сетях для сокрытия физического местоположения серверов управления зараженными компьютерами.
Хакеры пользуются прорехами в «одностороннем» спутниковом Интернете, который обычно используется в географически удаленных населенных пунктах, где другие виды подключения к Сети либо отсутствуют, либо очень дороги и медленны. При использовании одностороннего соединения пользователь отправляет свой запрос через наземный канал (кабель или GPRS), а ответ ему приходит через спутник. Интернет-контент в этом случае грузится сравнительно быстро, но передается в незашифрованном виде. А это значит, что любой, имея недорогое оборудование и ПО, может легко перехватить трафик и получить доступ ко всем данным, которые загружает пользователь.
Как выяснила «Лаборатория Касперского», кибергруппировка Turla использует в основном провайдеров, работающих на Ближнем Востоке и в Африке. Так, эксперты компании установили, что атакующие отправляли данные на IP-адреса из Афганистана, Ливана, Конго, Ливии, Нигера, Нигерии, Сомали и Замбии. Спутники, работающие в этом регионе, чаще всего не покрывают страны Европы и Северной Америки. Поэтому расследование таких атак экспертами по безопасности, находящимися вне региона, невозможно.
За этими операциями Turla, предположительно, стоят русскоязычные организаторы. От этой кампании кибершпионажа пострадали сотни пользователей в более чем 45 странах, в частности правительственные и дипломатические учреждения, военные, образовательные, исследовательские организации, фармацевтические компании. Среди лидеров по наибольшему числу атак, зарегистрированных «ЛК» в последнее время, такие страны, как Казахстан, Россия, США, Китай и Вьетнам.
