Группа российских хакеров под названием Turla взломала системы иранского объединения хакеров, известного как OilRig, и воспользовалась ими для прикрытия собственных кибератак, узнали американские и британские киберэксперты.
Как сообщает Aznews.tv, все это выяснилось в ходе расследования Национального центра кибербезопасности (NCSC), начатого в 2017 года после кибератаки, нацеленной на британское научное учреждение.
NCSC был создан в 2016 году и объединил в себе ресурсы британской электронной разведки – Центра правительственнной связи (GCHQ) – и ряда других организаций в сфере кибербезопасности. Он консультирует британский бизнес в деле защиты от кибератак.
Атака была выполнена российской группой Turla, которая в ходе взлома пыталась найти инструменты иранской OilRig и скомпрометированные ею системы, выяснили эксперты центра.
В ходе расследования, которое длилось несколько месяцев, они выяснили, что российская группа взломала иранскую, а потом начала пользоваться ее инструментами и сетями, в которые та уже проникла, в ходе собственных операций по сбору данных и взлому других сетей.
Таким образом российские хакеры осуществили атаки против целей в 35 странах, большинство из них – на Ближнем Востоке. По меньшей мере 20 атак увенчались успехом. Их целью был сбор информации, в том числе хищение документов. Атакам подверглись, в частности, правительственные учреждения.
По словам источников в разведке, Turla таким образом получала ту же информацию, что и иранская группа, и при этом пользовалась ее инфраструктурой для собственных операций, заодно надеясь замести следы.
Жертвы дальнейших атак Turla могли думать, что их атакуют из Ирана, хотя на самом деле атаки шли из России.
Нельзя сказать, что Иран был соучастником этих российских атак или что целью этой операции было поссорить эти две страны. Скорее, ситуация, которую мы видим, говорит о том, что мир киберопераций становится сложнее.
“Киберпространство становится все многолюднее”, – объясняет операционный директор центра Пол Чичестер.
Чичестер говорит, что раньше не видел таких сложных кибератак. По некоторым утечкам известно, что у США и Британии тоже есть подобные возможности.
Он добавляет, что подставить Иран не было основной целью российских хакеров.
NCSC также не увязывает нападения с правительственными структурами России и Ирана, хотя в ряде случаев Turla связывали с ФСБ, а OilRig предположительно действовала в интересах иранского государства.
Расследование по большей части проводили британские эксперты, но отчет о нем был представлен совместно с американским Агентством национальной безопасности. Впервые о том, что Turla взломала другую кибершпионскую группу, сообщила компания Symantec в июне.
Детали произошедшего оглашаются для того, чтобы помочь другим распознавать подобные операции и защищаться, говорит Чичестер.
“Мы хотим дать понять, что даже если хакеры пытаются замаскироваться, наши возможности не хуже и мы их узнаем”, – говорит он.
Как хакеры могут отреагировать на публикацию этой информации, чиновники предсказывать не берутся.
Aznews.tv
