تاریخ زیرزمینی باهوش‌ترین گروه هکر روسیه

اگر از تحلیلگران اطلاعاتی حوزه امنیت سایبری در کشور‌های غربی بپرسید که گروه "مورد علاقه" آنان از میان هکر‌های تحت حمایت دولت‌های خارجی کیست دشمنی که با اکراه آن را تحسین کرده و با وسواس فعالیت‌های آن را رصد می‌کنند احتمالا از تعداد زیادی از گروه‌های هکری از چین و کره شمالی نام نخواهند برد. آنان نه از گروه APT۴۱ چین با حملات وحشیانه علیه زنجیره تامین یاد خواهند کرد و نه از هکر‌های لازاروس کره شمالی که سرقت‌های عظیم ارز‌های دیجیتال را انجام می‌دهند. آنان حتی به گروه بدنام هکری روس Sandworm نیز که به شبکه‌های برق حمله کرده نیز اشاره نخواهند کرد.

به گزارش فرارو به نقل از rahnamato، در عوض، افراد خبره در عرصه نفوذ رایانه‌ای تمایل دارند از تیمی بسیار ظریف‌تر از جاسوسان سایبری نام ببرند که به اشکال مختلف برای مدت زمان طولانی تری درون شبکه‌های مختلف در سراسر غرب در سکوت نفوذ کرده اند: گروهی به نام "تورلا".

وزارت دادگستری ایالات متحده و پلیس فدرال امریکا (اف بی آی) هفته گذشته اعلام کردند که عملیات تورلا که با نام "خرس سمی" نیز شناخته می‌شود را خنثی کرده اند عملیاتی که هدف آن آلوده سازی رایانه‌های بیش از ۵۰ کشور جهان با استفاده از بدافزاری موسوم به "مار" (Snake) بود که نهاد‌های اطلاعاتی امریکایی آن را "ابزار جاسوسی برتر" آژانس اطلاعاتی روسیه توصیف کرده اند. دولت ایالات متحده با نفوذ به شبکه ماشین‌های هک شده تورلا و ارسال دستور حذف خود به این بدافزار شکستی جدی را بر کارزار جاسوسی تورلا وارد کرد.

پلیس فدرال امریکا در اقدامی بی سابقه برای نخستین بار گزارش گروهی از روزنامه نگاران آلمانی که سال گذشته اشاره کرده بودند تورلا وابسته به نهاد‌های امنیتی روسیه است را مورد تایید قرار دادند. پلیس فدرال امریکا اشاره کرده که طول عمر استفاده از تورلا باورنکردنی بوده و از جاسوس افزار "Snake" ساخت تورلا برای نزدیک به دو دهه استفاده شده است.

"توماس رید" استاد مطالعات استراتژیک و مورخ امنیت سایبری در دانشگاه جان هاپکینز می‌گوید در واقع، تورلا حداقل ۲۵ سال است که فعالیت می‌کند. او می‌گوید: "ابزار تورلا پیچیده، مخفیانه و پایدار می‌باشد. واقعا می‌توان آن را حریف شماره یک قلمداد کرد".

تورلا در طول تاریخ عمر خود بار‌ها در سایه‌ها ناپدید شد، اما دوباره در داخل شبکه‌های محافظت شده از جمله پنتاگون ایالات متحده، پیمانکاران دفاعی و سازمان‌های دولتی اروپایی ظاهر شده است. حتی بیش از طول عمر نبوغ فنی تورلا در حال تکامل است و از کرم‌های USB، هک ماهواره‌ای تا ربودن زیرساخت‌های دیگر هکر‌ها را نیز شامل می‌شود که باعث شده در طول ۲۵ سال فعالیت از دیگر گروه‌های هکری متمایز شود.

در ادامه به تاریخچه مختصری از ۲۵ سال فعالیت تورلا در عرصه جاسوسی دیجیتال اشاره خواهیم کرد:

۱۹۹۶ میلادی: پیچ و خم مهتاب

دو سال پس از زمانی که پنتاگون تحقیق در مورد مجموعه‌ای از نفوذ به سیستم‌های دولتی ایالات متحده به عنوان یک عملیات جاسوسی را آغاز کرد در سال ۱۹۹۸ میلادی بازرسان فدرال کشف کردند که یک گروه مرموز از هکر‌ها در رایانه‌های شبکه‌ای نیروی دریایی و نیرو‌های هوایی امریکا و هم چنین ناسا، وزارت انرژی، آژانس حفاظت از محیط زیست، اداره ملی اقیانوسی و جوی و برخی از دانشگاه‌های امریکا در حال گشت و گذار بوده اند.

"باب گورلی" افسر اطلاعاتی سابق وزارت دفاع ایالات متحده که بر روی تحقیقات مرتبط با این پرونده کار می‌کرد می‌گوید:"از همان ابتدا باور داشتیم که هکر‌ها خاستگاه روسی دارند. این اولین باری بود که یک دولت با سازماندهی با منابع خوب و حمایت کامل پشت چنین عملیاتی بود". تیمی از محققان در سال ۲۰۱۶ میلادی دریافتند که پیچ و خم مهتاب در واقع یکی از اجداد تورلا بوده است. آنان به مواردی اشاره کردند که هکر‌های تورلا از ابزار منحصر بفرد و مشابه سفارشی شده استفاده کرده بودند.

سال ۲۰۰۸ میلادی: Agent.btz

ده سال پس از پیج و هم مهتاب تورلا بار دیگر وزارت دفاع امریکا را حیرت زده ساخت. آژانس امنیت ملی امریکا در سال ۲۰۰۸ میلادی کشف کرد که یک بدافزار از داخل شبکه طبقه بندی شده فرماندهی مرکزی وزارت دفاع ایالات متحده خارج شده بود. آن شبکه از نظر فیزیکی ایزوله شده بود به طوری که هیچ اتصالی به شبکه‌های متصل به اینترنت نداشت. با این وجود، فردی آن را با استفاده از یک قطعه کد مخرب خودگسترش یابنده آلوده کرده بود کدی که پیش‌تر خود را در تعداد بی شماری از ماشین‌ها کپی کرده بود. پیش از آن هیچ رخداد مشابهی در سیستم‌های امریکا مشاهده نشده بود.

آژانس امنیت ملی به این نتیجه رسید کدی که بعدا توسط محققان شرکت امنیت سایبری فنلاند F-Secure با نام Agent.btz شناخته شد از طریق درایو‌های USB منتشر شده بود. این که چگونه USB آلوده به دست کارمندان وزارت دفاع آمریکا رسیده و به پناهگاه دیجیتالی ارتش ایالات متحده نفوذ کرده هرگز کشف نشده است.

نفوذ Agent.btz به شبکه‌های پنتاگون به اندازه‌ای فراگیر بود که باعث ایجاد یک ابتکار عمل چند ساله برای اصلاح امنیت سایبری ارتش امریکا و ایجاد فرماندهی سایبری ایالات متحده شد که سازمان خواهر آژانس امنیت ملی محسوب می‌شود و وظیفه حفاظت از شبکه‌های DOD را بر عهده داشت و اکنون به عنوان خانه هکر‌های جنگ سایبری امریکا عمل می‌کند.

چندین سال بعد در سال ۲۰۱۴ میلادی محققان شرکت امنیت سایبری روسی کسپرسکی به ارتباطات فنی بین Agent.btz و بدافزار تورلا اشاره کردند که به Snake معروف شد.

۲۰۱۵ میلادی: فرماندهی و کنترل ماهواره

در اواسط دهه ۲۰۱۰ میلادی تورلا که پیش‌تر به دلیل هک کردن شبکه‌های رایانه‌ای در ده کشور در سراسر جهان شناخته شده بود اغلب نسخه‌ای از بدافزار Snake خود را روی دستگاه‌های قربانیان باقی می‌گذاشت. در سال ۲۰۱۴ میلادی مشخص شد که تورلا از حملات "watering-hole" استفاده می‌کند که بدافزار را در وب سایت‌ها با هدف آلوده کردن بازدیدکنندگان خود نصب می‌کند. اما در سال ۲۰۱۵ میلادی محققان کسپرسکی یک تکنیک تورلا را کشف کردند که می‌تواند شهرت آن گروه را برای پنهان کاری و پیچیدگی عملیات تقویت کند: ربودن ارتباطات ماهواره‌ای برای ربودن داده‌های قربانیان از طریق فضا.

در سپتامبر همان سال یکی از محققان کسپرسکی فاش ساخت که بدافزار تورلا با سرور‌های فرمان و کنترل خود یعنی ماشین‌هایی که دستورات را به رایانه‌های آلوده ارسال می‌کنند و داده‌های دزدیده شده شان را دریافت می‌کنند از طریق اتصالات اینترنتی ماهواره‌ای ربوده شده در ارتباط بود.

هم چنین، اشاره شده بود که هکر‌های تورلا آدرس IP یک مشترک اینترنت ماهواره‌ای واقعی را در سرور فرمان و کنترلی که در جایی در همان منطقه آن مشترک راه اندازی شده بود جعل می‌کردند سپس اطلاعات دزدیده شده خود را از رایانه‌های هک شده به آن IP می‌فرستادند تا از طریق ماهواره برای مشترک ارسال شود، اما به گونه‌ای که باعث مسدود شدن آن توسط فایروال گیرنده شود. با این وجود، از آنجایی که ماهواره داده‌ها را از آسمان به کل منطقه پخش می‌کرد یک آنتن متصل به سرور فرمان و کنترل تورلا نیز می‌توانست آن را دریافت کند.

سال ۲۰۱۹ میلادی: Piggybacking

بسیاری از هکر‌ها از "پرچم‌های دروغین" استفاده می‌کنند و ابزار‌ها یا تکنیک‌های گروه هکر دیگری را به کار می‌گیرند تا توجه محققان را از مسیر بررسی‌های خود منحرف سازند. آژانس امنیت ملی امریکا، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و مرکز امنیت سایبری ملی بریتانیا در سال ۲۰۱۹ میلادی هشدار دادند که تورلا بسیار فراتر رفته است: زیرساخت‌های یک گروه هکری دیگر را به شکلی بی صدا تسخیر کرده بود تا کل عملیات جاسوسی آن را فرماندهی شد.

در یک مشاوره مشترک آژانس‌های ایالات متحده و بریتانیا ادعا کردند که تورلا موفق شده کنترل تنها بدافزار مورد استفاده یک گروه ایرانی موسوم به APT۳۴ (یا Oilrig) را ربوده و در دست گیرد.

سال ۲۰۲۲ میلادی: ربودن یک بات نت

شرکت امنیت سایبری Mandiant در اوایل سال جاری گزارش داد که تورلا در حال انجام نوع متفاوتی از ترفند هکر ربایی بوده و این بار یک بات نت مجرمان سایبری را برای غربال کردن قربانیان خود در اختیار گرفته است. آن شرکت در سپتامبر ۲۰۲۲ میلادی متوجه شد که کاربری در شبکه‌ای در اوکراین یک درایو USB را به دستگاه خود وصل کرده و آن را با بدافزاری به نام آندرومده یک تروجان بانکی ده ساله آلوده کرده است.

با این وجود، زمانی که Mandiant نگاهی دقیق‌تر به ماجرا داشت متوجه شد که آن بدافزار دو ابزار که پیش‌تر به تورلا متصل شده بودند را دانلود و نصب کرده است. کارشناسان آن شرکت دریافتند که جاسوسان روسی دامنه‌های منقضی شده‌ای را ثبت کرده اند که مدیران مجرمان سایبری اصلی آندرومده برای کنترل بدافزار‌های از آن استفاده کرده بودند و روس‌ها توانایی کنترل آن آلودگی‌ها را به دست آورده بودند.

آن هک هوشمندانه تمام ویژگی‌های تورلا را داشت: استفاده از درایو‌های USB برای آلوده کردن قربانیان، همان طور که با Agent.btz در سال ۲۰۰۸ میلادی انجام داد، اما اکنون با ترفند ربودن بدافزار USB یک گروه هکر دیگر برای کنترل آن ترکیب شده بود. تورلا چند سال پیش از آن این کار را با هکر‌های ایرانی انجام داده بود.

سال ۲۰۲۳ میلادی: سر بریده توسط پرسئوس

پلیس فدرال امریکا هفته گذشته اعلام کرد که به اقدامات تورلا پاسخ داده و این کار را با بهره برداری از ضعف رمزگذاری مورد استفاده در بدافزار Turla's Snake و بقایای کدی که پلیس فدرال از ماشین‌های آلوده مورد ارزیابی قرار داده بود انجام داده است. پلیس فدرال اعلام کرد که آموخته که نه تنها رایانه‌های آلوده به Snake را شناسایی کند بلکه دستوری را به آن ماشین‌ها ارسال کند که بدافزار به عنوان دستورالعملی برای حذف خود تفسیر می‌کند. پلیس فدرال با استفاده از ابزاری که به نام پرسئوس ساخته بود Snake را از ماشین‌های قربانیان در سراسر جهان پاکسازی کرد.

با این وجود، این گزارش نباید این تصور را ایجاد کند که از بین بردن شبکه Snake حتی اگر بدافزار به طور کامل ریشه کن شود به معنای پایان کار یکی از مقاوم‌ترین گروه‌های هکر روسیه خواهد بود. بدون شک بازی موش و گربه ادامه خواهد یافت. تورلا بیش از هر گروه هکری دیگری سابقه تکامل داشته و نگاهی به عملیات، تاکتیک‌ها و تکنیک‌های آن گروه این موضوع را نشان می‌دهد. آنان تکامل می‌یابند و دوباره تبدیل به ابزار می‌شوند و سعی می‌کنند دوباره مخفیانه‌تر شوند. این الگوی تاریخی است که در دهه ۱۹۹۰ میلادی آغاز شد.

گورلی نیز می‌گوید:" کشتن برخی از عفونت‌های ناشی از Snake بسیر متفاوت از شکست دادن قدیمی‌ترین تیم جاسوسی سایبری روسیه است. این بازی‌ای بی نهایت است. اگر آنان پیش‌تر به سیستم‌های بازگشته اند به زودی بار دیگر بازخواهند گشت. آنان نمی‌روند. این پایان تاریخ جاسوسی سایبری نیست. آن‌ها قطعا باز خواهند گشت".