از کرمهای USB گرفته تا هک ماهوارهای هکرهای سرویس امنیت فدرال روسیه (FSB) معروف به "تورلا" ۲۵ سال را صرف برسمیت شناخته شدن به عنوان "رقیب شماره یک" کرده اند.
اگر از تحلیلگران اطلاعاتی حوزه امنیت سایبری در کشورهای غربی بپرسید که گروه "مورد علاقه" آنان از میان هکرهای تحت حمایت دولتهای خارجی کیست دشمنی که با اکراه آن را تحسین کرده و با وسواس فعالیتهای آن را رصد میکنند احتمالا از تعداد زیادی از گروههای هکری از چین و کره شمالی نام نخواهند برد. آنان نه از گروه APT۴۱ چین با حملات وحشیانه علیه زنجیره تامین یاد خواهند کرد و نه از هکرهای لازاروس کره شمالی که سرقتهای عظیم ارزهای دیجیتال را انجام میدهند. آنان حتی به گروه بدنام هکری روس Sandworm نیز که به شبکههای برق حمله کرده نیز اشاره نخواهند کرد.
به گزارش فرارو به نقل از rahnamato، در عوض، افراد خبره در عرصه نفوذ رایانهای تمایل دارند از تیمی بسیار ظریفتر از جاسوسان سایبری نام ببرند که به اشکال مختلف برای مدت زمان طولانی تری درون شبکههای مختلف در سراسر غرب در سکوت نفوذ کرده اند: گروهی به نام "تورلا".
وزارت دادگستری ایالات متحده و پلیس فدرال امریکا (اف بی آی) هفته گذشته اعلام کردند که عملیات تورلا که با نام "خرس سمی" نیز شناخته میشود را خنثی کرده اند عملیاتی که هدف آن آلوده سازی رایانههای بیش از ۵۰ کشور جهان با استفاده از بدافزاری موسوم به "مار" (Snake) بود که نهادهای اطلاعاتی امریکایی آن را "ابزار جاسوسی برتر" آژانس اطلاعاتی روسیه توصیف کرده اند. دولت ایالات متحده با نفوذ به شبکه ماشینهای هک شده تورلا و ارسال دستور حذف خود به این بدافزار شکستی جدی را بر کارزار جاسوسی تورلا وارد کرد.
پلیس فدرال امریکا در اقدامی بی سابقه برای نخستین بار گزارش گروهی از روزنامه نگاران آلمانی که سال گذشته اشاره کرده بودند تورلا وابسته به نهادهای امنیتی روسیه است را مورد تایید قرار دادند. پلیس فدرال امریکا اشاره کرده که طول عمر استفاده از تورلا باورنکردنی بوده و از جاسوس افزار "Snake" ساخت تورلا برای نزدیک به دو دهه استفاده شده است.
"توماس رید" استاد مطالعات استراتژیک و مورخ امنیت سایبری در دانشگاه جان هاپکینز میگوید در واقع، تورلا حداقل ۲۵ سال است که فعالیت میکند. او میگوید: "ابزار تورلا پیچیده، مخفیانه و پایدار میباشد. واقعا میتوان آن را حریف شماره یک قلمداد کرد".
تورلا در طول تاریخ عمر خود بارها در سایهها ناپدید شد، اما دوباره در داخل شبکههای محافظت شده از جمله پنتاگون ایالات متحده، پیمانکاران دفاعی و سازمانهای دولتی اروپایی ظاهر شده است. حتی بیش از طول عمر نبوغ فنی تورلا در حال تکامل است و از کرمهای USB، هک ماهوارهای تا ربودن زیرساختهای دیگر هکرها را نیز شامل میشود که باعث شده در طول ۲۵ سال فعالیت از دیگر گروههای هکری متمایز شود.
در ادامه به تاریخچه مختصری از ۲۵ سال فعالیت تورلا در عرصه جاسوسی دیجیتال اشاره خواهیم کرد:
دو سال پس از زمانی که پنتاگون تحقیق در مورد مجموعهای از نفوذ به سیستمهای دولتی ایالات متحده به عنوان یک عملیات جاسوسی را آغاز کرد در سال ۱۹۹۸ میلادی بازرسان فدرال کشف کردند که یک گروه مرموز از هکرها در رایانههای شبکهای نیروی دریایی و نیروهای هوایی امریکا و هم چنین ناسا، وزارت انرژی، آژانس حفاظت از محیط زیست، اداره ملی اقیانوسی و جوی و برخی از دانشگاههای امریکا در حال گشت و گذار بوده اند.
"باب گورلی" افسر اطلاعاتی سابق وزارت دفاع ایالات متحده که بر روی تحقیقات مرتبط با این پرونده کار میکرد میگوید:"از همان ابتدا باور داشتیم که هکرها خاستگاه روسی دارند. این اولین باری بود که یک دولت با سازماندهی با منابع خوب و حمایت کامل پشت چنین عملیاتی بود". تیمی از محققان در سال ۲۰۱۶ میلادی دریافتند که پیچ و خم مهتاب در واقع یکی از اجداد تورلا بوده است. آنان به مواردی اشاره کردند که هکرهای تورلا از ابزار منحصر بفرد و مشابه سفارشی شده استفاده کرده بودند.
ده سال پس از پیج و هم مهتاب تورلا بار دیگر وزارت دفاع امریکا را حیرت زده ساخت. آژانس امنیت ملی امریکا در سال ۲۰۰۸ میلادی کشف کرد که یک بدافزار از داخل شبکه طبقه بندی شده فرماندهی مرکزی وزارت دفاع ایالات متحده خارج شده بود. آن شبکه از نظر فیزیکی ایزوله شده بود به طوری که هیچ اتصالی به شبکههای متصل به اینترنت نداشت. با این وجود، فردی آن را با استفاده از یک قطعه کد مخرب خودگسترش یابنده آلوده کرده بود کدی که پیشتر خود را در تعداد بی شماری از ماشینها کپی کرده بود. پیش از آن هیچ رخداد مشابهی در سیستمهای امریکا مشاهده نشده بود.
آژانس امنیت ملی به این نتیجه رسید کدی که بعدا توسط محققان شرکت امنیت سایبری فنلاند F-Secure با نام Agent.btz شناخته شد از طریق درایوهای USB منتشر شده بود. این که چگونه USB آلوده به دست کارمندان وزارت دفاع آمریکا رسیده و به پناهگاه دیجیتالی ارتش ایالات متحده نفوذ کرده هرگز کشف نشده است.
نفوذ Agent.btz به شبکههای پنتاگون به اندازهای فراگیر بود که باعث ایجاد یک ابتکار عمل چند ساله برای اصلاح امنیت سایبری ارتش امریکا و ایجاد فرماندهی سایبری ایالات متحده شد که سازمان خواهر آژانس امنیت ملی محسوب میشود و وظیفه حفاظت از شبکههای DOD را بر عهده داشت و اکنون به عنوان خانه هکرهای جنگ سایبری امریکا عمل میکند.
چندین سال بعد در سال ۲۰۱۴ میلادی محققان شرکت امنیت سایبری روسی کسپرسکی به ارتباطات فنی بین Agent.btz و بدافزار تورلا اشاره کردند که به Snake معروف شد.
در اواسط دهه ۲۰۱۰ میلادی تورلا که پیشتر به دلیل هک کردن شبکههای رایانهای در ده کشور در سراسر جهان شناخته شده بود اغلب نسخهای از بدافزار Snake خود را روی دستگاههای قربانیان باقی میگذاشت. در سال ۲۰۱۴ میلادی مشخص شد که تورلا از حملات "watering-hole" استفاده میکند که بدافزار را در وب سایتها با هدف آلوده کردن بازدیدکنندگان خود نصب میکند. اما در سال ۲۰۱۵ میلادی محققان کسپرسکی یک تکنیک تورلا را کشف کردند که میتواند شهرت آن گروه را برای پنهان کاری و پیچیدگی عملیات تقویت کند: ربودن ارتباطات ماهوارهای برای ربودن دادههای قربانیان از طریق فضا.
در سپتامبر همان سال یکی از محققان کسپرسکی فاش ساخت که بدافزار تورلا با سرورهای فرمان و کنترل خود یعنی ماشینهایی که دستورات را به رایانههای آلوده ارسال میکنند و دادههای دزدیده شده شان را دریافت میکنند از طریق اتصالات اینترنتی ماهوارهای ربوده شده در ارتباط بود.
هم چنین، اشاره شده بود که هکرهای تورلا آدرس IP یک مشترک اینترنت ماهوارهای واقعی را در سرور فرمان و کنترلی که در جایی در همان منطقه آن مشترک راه اندازی شده بود جعل میکردند سپس اطلاعات دزدیده شده خود را از رایانههای هک شده به آن IP میفرستادند تا از طریق ماهواره برای مشترک ارسال شود، اما به گونهای که باعث مسدود شدن آن توسط فایروال گیرنده شود. با این وجود، از آنجایی که ماهواره دادهها را از آسمان به کل منطقه پخش میکرد یک آنتن متصل به سرور فرمان و کنترل تورلا نیز میتوانست آن را دریافت کند.
بسیاری از هکرها از "پرچمهای دروغین" استفاده میکنند و ابزارها یا تکنیکهای گروه هکر دیگری را به کار میگیرند تا توجه محققان را از مسیر بررسیهای خود منحرف سازند. آژانس امنیت ملی امریکا، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مرکز امنیت سایبری ملی بریتانیا در سال ۲۰۱۹ میلادی هشدار دادند که تورلا بسیار فراتر رفته است: زیرساختهای یک گروه هکری دیگر را به شکلی بی صدا تسخیر کرده بود تا کل عملیات جاسوسی آن را فرماندهی شد.
در یک مشاوره مشترک آژانسهای ایالات متحده و بریتانیا ادعا کردند که تورلا موفق شده کنترل تنها بدافزار مورد استفاده یک گروه ایرانی موسوم به APT۳۴ (یا Oilrig) را ربوده و در دست گیرد.
شرکت امنیت سایبری Mandiant در اوایل سال جاری گزارش داد که تورلا در حال انجام نوع متفاوتی از ترفند هکر ربایی بوده و این بار یک بات نت مجرمان سایبری را برای غربال کردن قربانیان خود در اختیار گرفته است. آن شرکت در سپتامبر ۲۰۲۲ میلادی متوجه شد که کاربری در شبکهای در اوکراین یک درایو USB را به دستگاه خود وصل کرده و آن را با بدافزاری به نام آندرومده یک تروجان بانکی ده ساله آلوده کرده است.
با این وجود، زمانی که Mandiant نگاهی دقیقتر به ماجرا داشت متوجه شد که آن بدافزار دو ابزار که پیشتر به تورلا متصل شده بودند را دانلود و نصب کرده است. کارشناسان آن شرکت دریافتند که جاسوسان روسی دامنههای منقضی شدهای را ثبت کرده اند که مدیران مجرمان سایبری اصلی آندرومده برای کنترل بدافزارهای از آن استفاده کرده بودند و روسها توانایی کنترل آن آلودگیها را به دست آورده بودند.
آن هک هوشمندانه تمام ویژگیهای تورلا را داشت: استفاده از درایوهای USB برای آلوده کردن قربانیان، همان طور که با Agent.btz در سال ۲۰۰۸ میلادی انجام داد، اما اکنون با ترفند ربودن بدافزار USB یک گروه هکر دیگر برای کنترل آن ترکیب شده بود. تورلا چند سال پیش از آن این کار را با هکرهای ایرانی انجام داده بود.
پلیس فدرال امریکا هفته گذشته اعلام کرد که به اقدامات تورلا پاسخ داده و این کار را با بهره برداری از ضعف رمزگذاری مورد استفاده در بدافزار Turla's Snake و بقایای کدی که پلیس فدرال از ماشینهای آلوده مورد ارزیابی قرار داده بود انجام داده است. پلیس فدرال اعلام کرد که آموخته که نه تنها رایانههای آلوده به Snake را شناسایی کند بلکه دستوری را به آن ماشینها ارسال کند که بدافزار به عنوان دستورالعملی برای حذف خود تفسیر میکند. پلیس فدرال با استفاده از ابزاری که به نام پرسئوس ساخته بود Snake را از ماشینهای قربانیان در سراسر جهان پاکسازی کرد.
با این وجود، این گزارش نباید این تصور را ایجاد کند که از بین بردن شبکه Snake حتی اگر بدافزار به طور کامل ریشه کن شود به معنای پایان کار یکی از مقاومترین گروههای هکر روسیه خواهد بود. بدون شک بازی موش و گربه ادامه خواهد یافت. تورلا بیش از هر گروه هکری دیگری سابقه تکامل داشته و نگاهی به عملیات، تاکتیکها و تکنیکهای آن گروه این موضوع را نشان میدهد. آنان تکامل مییابند و دوباره تبدیل به ابزار میشوند و سعی میکنند دوباره مخفیانهتر شوند. این الگوی تاریخی است که در دهه ۱۹۹۰ میلادی آغاز شد.
گورلی نیز میگوید:" کشتن برخی از عفونتهای ناشی از Snake بسیر متفاوت از شکست دادن قدیمیترین تیم جاسوسی سایبری روسیه است. این بازیای بی نهایت است. اگر آنان پیشتر به سیستمهای بازگشته اند به زودی بار دیگر بازخواهند گشت. آنان نمیروند. این پایان تاریخ جاسوسی سایبری نیست. آنها قطعا باز خواهند گشت".