Доклад британских спецслужб: русские хакеры украли у иранских хакеров инструменты для взлома — и сами взломанные серверы

Национальный центр кибербезопасности Великобритании (NCSC) опубликовал результаты исследования, проведенного совместно с Агентством национальной безопасности США. Доклад посвящен известной русскоязычной хакерской группировке Turla и ее новому методу работы — она проникла в инфраструктуру иранских хакеров, «украла» у иранцев доступ к взломанным ими серверам и сам хакерский инструментарий, который теперь использует в собственных целях.

«Группа Turla, также известная как „Водяной жук“ и „Ядовитый медведь“, широко известна как группа, связанная с силами из России», — говорится в предисловии к докладу. Она занимается взломом правительственных, военных, энергетических и других организаций с целью сбора данных. На Западе ее связывают с российскими спецслужбами.

Ранее NCSC обнаружила, что хакеры из этой группировки используют программные «закладки» под названием Neuron и Nautilus, которые позволяют взламывать серверы на платформах Microsoft Windows. После дополнительного анализа эксперты пришли к выводу, что Neuron и Nautilus — это софт иранских хакеров. Причем сами иранцы, которые их создали и использовали, «почти наверняка не знали об использовании Turla своих программных закладок и не были замешаны в их использовании», полагают в NCSC.

Сначала россияне находили серверы, уже взломанные иранцами, и брали их под собственный контроль, а потом развернули чужой хакерский инструментарий против новых жертв. «Turla сканировала серверы на наличие иранских „закладок“ и пыталась использовать их для укрепления своих позиций. Основное их внимание при этом было сосредоточено на Ближнем Востоке», — говорится в докладе.

Спецслужбы полагают, что Turla смогла проделать эту работу, взломав самих иранских коллег. «Чтобы установить связь с „закладками“, Turla должна была иметь доступ к соответствующим криптографическим ключам и, вероятно, доступ к контролирующему их программному обеспечению», — поясняют NCSC.

Более того, группировка использовала в качестве инструмента иранскую сетевую инфраструктуру. На иранских серверах Turla установила собственные закладки — и в результате получила доступ к файлам иранских хакеров, а также «беспрецедентную осведомленность о тактике, методах и процедурах иранских APT, включая списки жертв и учетные данные для доступа к их инфраструктуре — а также код, необходимый для создания новых версий таких инструментов, как Neuron».

В других случаях хакеры использовали Neuron для взлома серверов, к которым они уже получили доступ с помощью руткита Snake — их собственной разработки (само слово Snake — еще один псевдоним группировки).

С помощью всего этого инструментария за последние 18 месяцев Turla успешно взломала организации по меньшей мере в 20 странах, сообщает Reuters со ссылкой на сотрудников британских спецслужб. Они же сообщили агентству, что взломанная Turla иранская группировка называется APT34.

В докладе NCSC также содержатся рекомендации, как проверять серверы на наличие взлома с помощью Neuron, Nautilus и Snake. Это характерный код (по ссылке — документ .pdf), а также подпись, которую оставляет Turla, — строчки «!!!MAY BE SHELL!!! (check version) !!!MAY BE SHELL!!! (100%)».

Глава оперативного отдела NCSC Пол Чичестер назвал публикацию доклада предупреждением: «Мы хотим четко дать понять, что даже когда киберпреступники пытаются замаскировать свою личность, наши возможности в конечном счете позволят их идентифицировать».