.
Pergunte à segurança cibernética ocidental analistas de inteligência que é seu grupo “favorito” de hackers patrocinados por estados estrangeiros – o adversário que eles não podem deixar de admirar relutantemente e estudar obsessivamente – e a maioria não vai citar nenhum dos grupos de hackers que trabalham em nome da China ou do Norte Coréia. Nem o APT41 da China, com sua onda descarada de ataques à cadeia de suprimentos, nem os hackers norte-coreanos Lazarus, que realizam roubos maciços de criptomoedas. A maioria nem mesmo aponta para o notório grupo de hackers Sandworm da Rússia, apesar dos ataques cibernéticos sem precedentes da unidade militar contra redes elétricas ou código auto-replicante destrutivo.
Em vez disso, os conhecedores de invasão de computador tendem a nomear uma equipe muito mais sutil de ciberespiões que, de várias formas, penetrou silenciosamente nas redes do Ocidente por muito mais tempo do que qualquer outro: um grupo conhecido como Turla.
Na semana passada, o Departamento de Justiça dos EUA e o FBI anunciaram o desmantelamento de uma operação de Turla – também conhecida por nomes como Venomous Bear e Waterbug – que infectou computadores em mais de 50 países com um malware conhecido como Snake, que o Agências dos EUA descritas como a “primeira ferramenta de espionagem” da agência de inteligência russa FSB. Ao se infiltrar na rede de máquinas hackeadas de Turla e enviar ao malware um comando para deletar a si mesmo, o governo dos EUA causou um sério revés nas campanhas globais de espionagem de Turla.
Mas em seu anúncio – e em documentos judiciais arquivados para realizar a operação – o FBI e o DOJ foram além e confirmaram oficialmente pela primeira vez a reportagem de um grupo de jornalistas alemães no ano passado, que revelou que Turla trabalha para o Centro 16 do FSB. grupo em Ryazan, nos arredores de Moscou. Também deu a entender a incrível longevidade de Turla como um dos principais equipamentos de espionagem cibernética: uma declaração arquivada pelo FBI afirma que o malware Snake de Turla está em uso há quase 20 anos.
Na verdade, a Turla provavelmente está operando há pelo menos 25 anos, diz Thomas Rid, professor de estudos estratégicos e historiador de segurança cibernética da Universidade Johns Hopkins. Ele aponta evidências de que foi Turla – ou pelo menos uma espécie de proto-Turla que se tornaria o grupo que conhecemos hoje – que realizou a primeira operação de espionagem cibernética por uma agência de inteligência visando os EUA, uma campanha de hacking plurianual conhecida como Labirinto Luar.
Dada essa história, o grupo com certeza estará de volta, diz Rid, mesmo após a última interrupção de seu kit de ferramentas pelo FBI. “Turla é realmente a quintessência do APT”, diz Rid, usando a abreviação de “ameaça persistente avançada”, um termo que o setor de segurança cibernética usa para grupos de hackers de elite patrocinados pelo estado. “Sua ferramenta é muito sofisticada, furtiva e persistente. Um quarto de século fala por si. Realmente, é o adversário número um.”
Ao longo de sua história, Turla desapareceu repetidamente nas sombras por anos, apenas para reaparecer dentro de redes bem protegidas, incluindo as do Pentágono dos EUA, empreiteiros de defesa e agências governamentais europeias. Mas ainda mais do que sua longevidade, é a engenhosidade técnica em constante evolução de Turla – de worms USB a hackers baseados em satélites e seqüestro de infraestrutura de outros hackers – que a distingue ao longo desses 25 anos, diz Juan Andres Guerrero-Saade, principal pesquisador de ameaças na empresa de segurança SentinelOne. “Você olha para Turla, e há várias fases em que, oh meu Deus, eles fizeram algo incrível, foram pioneiros em outra coisa, tentaram alguma técnica inteligente que ninguém havia feito antes, escalaram e implementaram”, diz Guerrero -Saade. “Eles são inovadores e pragmáticos, e isso os torna um grupo APT muito especial para acompanhar.”
.
