Amintim că azi președintele Nicușor Dan a confirmat că România a fost ținta unui atac masiv cibernetic care a vizat date sensibile sau infrastructură critică. Au fost atacate mai multe state membre UE și NATO.
Tot azi Uniunea Europeană a adăugat pe lista de sancțiuni mai multe persoane din cercul grupului Trula.
Spre deosebire de hackerii oportuniști sau de grupările de criminalitate cibernetică care vizează recompense financiare rapide prin atacuri de tip ransomware, misiunea de bază a grupului Turla este strict geopolitică, militară și diplomatică.
Scopul lor nu este să distrugă sau să ceară răscumpărări, ci să obțină un acces pe termen nelimitat la rețele guvernamentale, ministere, ambasade și contractori din domeniul apărării pentru a fura secrete de stat de o importanță critică.
Cum funcționează Turla? Anatomia unui atac de spionaj de lungă durată: Turla se infiltrează, spionează și fură documente din cadrul Ministerelor de Externe și Apărării
Imagine ilustrativă. Militari ai armatei ruse, accesând un sistem informatic.
Potrivti Brandefense, pentru a înțelege cât de periculos grup orchestrat de FSB rus, trebuie analizat modul de operare (TTP-urile) care le permite hackerilor de stat ruși să opereze fără a fi detectați, uneori timp de ani sau chiar decenii.
Printre cele mai frecvente metode se numără spear-phishing-ul (e-mailuri legitime ca aspect, dar trimise țintit către oficiali, conținând atașamente infectate) și atacurile de tip watering-hole (compromiterea unor site-uri web pe care țintele lor le vizitează în mod curent).
În ultimul timp, grupul s-a specializat în exploatarea vulnerabilităților de la nivelul echipamentelor VPN și a serverelor publice. Odată ce o breșă este descoperită în sistemul de acces la distanță al unei instituții, Turla pătrunde în rețea înainte ca administratorii să apuce să aplice patch-urile de securitate.
Pentru a-și extinde controlul în rețea hackerii folosesc tehnici de tip Living-off-the-land (LOLBins). Asta înseamnă că, în loc să ruleze cod străin care ar putea declanșa alarmele de securitate, ei folosesc instrumentele și comenzile legitime deja existente în Windows sau Linux pentru a fura credențiale și a obține privilegii de administrator, explică sursa citată.
Ulterior, pentru a trimite documentele înapoi la Moscova fără a lăsa urme pe sistemele de monitorizare ale traficului de internet, Turla folosește o infrastructură extrem de complexă. Printre cele mai originale metode se numără canalele C2 bazate pe comunicații prin satelit. Hackerii interceptează și folosesc fluxurile de date ale sateliților comerciali pentru a-și masca locația reală.
Campaniile derulate demonstrează o coordonare strânsă cu prioritățile politice și militare ale Kremlinului. În ultimii ani, activitatea lor s-a concentrat masiv pe ministerele de externe și de apărare ale țărilor din Europa și din blocul NATO. Turla le oferă serviciilor de informații rusești un avantaj strategic, putând anticipa deciziile politice, mișcările de trupe și strategiile de apărare ale Occidentului.