APT Turla, o grupare de hackeri controlată de Centrul 16 al Serviciului Federal de Securitate (FSB) al Rusiei, este acuzată de activități cibernetice ostile împotriva mai multor țări membre NATO și UE, inclusiv împotriva României.
Cunoscută și sub alte denumiri, precum Snake, Uroburos, Waterbug, VENOMOUS Bear și Secret Blizzard, APT Turla este activă începând din 2004 și colectează informații prin operațiuni de spionaj cibernetic, relatează Forti Guard, Picus Security și Brandefense.
Caracteristica distinctivă a Turla este faptul că dezvoltă și utilizează familii de programe malware modulare (construite ca un puzzle) și ascunse.
Gruparea este cunoscută pentru anumite seturi de instrumente personalizate, cum ar fi backdoor-urile (uși secrete) STOCKSTAY și Kazuar, în scopul de a se infiltra în infrastructurile altor actori.
Motivație strategică
Axată pe colectarea de informații pe termen lung, APT Turla vizează de regulă guverne străine, misiuni diplomatice, contractori din domeniul apărări, institute de cercetare și ONG-uri.
Operațiunile sale se concentrează în principal pe Europa, în special pe statele membre UE și NATO, dar se extind și în Orientul Mijlociu, Asia Centrală și America de Nord.
Motivațiile sale nu sunt financiare, ci mai degrabă să mențină un acces nelimitat la ținte de mare valoare, să colecteze informații sensibile și să saboteze așa-zișii inamici ai Rusiei prin operațiuni secrete.
Operațiuni majore cunoscute public
Primul atac cibernetic atribuit APT Turla datează din 2004 și a vizat ambasade și structuri militare din SUA și Europa.
Într-o altă operațiune, în 2008, APT Turla a căutat să se infiltreze în rețelele militare americane din Orientul Mijlociu, precum și în Departamentul Apărării al SUA. Zece ani mai târziu, în 2018, a vizat armata franceză.
În 2020, a implementat backdoor-urile LunarWeb și LunarMail împotriva unui minister de externe din Europa și împotriva a misiuni diplomatice din Orientul Mijlociu.
Operațiunile sale au continuat până de curând, căutând în principal să obțină informații despre politicile și strategiile pe termen lung ale NATO.
APT Turla este considerată o amenințare persistentă avansată (APT), bazându-se pe atacuri cibernetice complexe, nedectabile și îndelungate, uneori durând luni sau ani de zile.
UE şi Marea Britanie impun sancţiuni Rusiei
Regatul Unit şi Uniunea Europeană au anunţat luni, 13 iulie, că vor impune sancţiuni împotriva Rusiei din cauza faptului că se dedă unor atacuri cibernetice menite să „semene haos şi diviziune în Europa”, transmite AFP.
Marea Britanie a anunţat că va impune sancţiuni împotriva a 24 de persoane şi entităţi legate de serviciile secrete rusești, iar UE a anunţat, la rândul său, sancţiuni împotriva a 13 entităţi şi persoane, printre care se numără ofiţeri ai serviciului militar de informaţii GRU.
„Ameninţarea este reală, concretă, distructivă; astăzi, toată lumea este convinsă de acest lucru”, a afirmat pentru AFP o sursă din domeniul securităţii dintr-o ţară membră UE.
Potrivit Regatului Unit și UE, Centrul 16 al FSB, care controlează gruparea APT Turla, a încercat să atace rețeaua electrică a Polonei. Acest atac urmărit să lase fără electricitate 500.000 de oameni „în plină iarnă”, dar a fost dejucat.
Germania și Franța îi convoacă pe ambasadorii ruși
În conextul anunțului făcut de Londra și Bruxelles, Ministerul german al Afacerilor Externe l-a convocat luni dimineaţă pe ambasadorul rus pentru a denunţa „activităţile cibernetice rău intenţionate” comise de Moscova împotriva mai multor ţări europene.
„Este vorba despre o campanie de atacuri cibernetice atribuită Rusiei, condusă de un actor care se numeşte Turla”, a precizat purtătoarea de cuvânt a MAE german într-o conferinţă de presă.
Ministerul francez de Externe a transmis de asemenea că l-a convocat pe ambasadorul rus din cauza unor „campanii cibernetice de amploare” desfăşurate de Moscova cu scopul de a sabota şi spiona, inclusiv Franța.
Pe lângă convocarea ambasadorului, Franța „va impune sancţiuni împotriva a nouă persoane şi a patru entităţi responsabile de această campanie cibernetică orchestrată de FSB”. Declarația îi aparține ministrului francez de Externe Jean-Noël Barrot.
Ministrul francez a explicat că operaţiunile rusești de criminalitate cibernetică vizau în special ministerele, întreprinderile şi operatorii, cu scopul „fie de a capta informaţii, fie de a sabota funcţionarea, de exemplu, a infrastructurilor feroviare, aşa cum s-a întâmplat în Polonia”.
El a subliniat că Franţa are „capacitatea de a detecta aceste atacuri”. „Ne-am consolidat considerabil apărarea împotriva acestor atacuri cibernetice. În ceea ce priveşte lupta împotriva acestei agresivităţi sau a acestor agresiuni hibride provenite din Rusia, dispunem de unul dintre cele mai performante dispozitive din Europa şi din lume“, a dat asigurări Barrot.
Centrul 16 al FSB
Potrivit şefei diplomaţiei european, Kaja Kallas, Centrul 16 vizează încă din 2010 „entităţi guvernamentale strategice” franceze. Și alte state, printre care România, sunt în vizorul acestei unități a FSB.
„Aceste activităţi au inclus infiltrarea reţelelor guvernamentale şi sabotarea infrastructurii critice. Printre altele, au fost vizate Franţa, Germania, Polonia, Cipru, Ţările de Jos, Austria, Slovacia, România şi Finlanda”, a arătat Uniunea Europeană.
„Condamnăm ferm comportamentul Rusiei”, a afirmat Kallas.
„Fie că este vorba de a îndruma infractori împotriva unor companii sau de a lovi reţeaua energetică poloneză în plină iarnă, statul rus atinge noi culmi ale josniciei în încercările sale de a submina securitatea europeană", a denunţat ministrul britanic al afacerilor externe, Yvette Cooper.
Nicușor Dan condamnă activitățile cibernetice ostile ale Rusiei
Președintele Nicușor Dan a reacționat pe acest subiect: „România condamnă ferm activitățile cibernetice ostile desfășurate de grupări controlate de Serviciul Federal de Securitate al Federației Ruse, care au vizat state membre ale Uniunii Europene, aliați NATO și partenerii acestora, inclusiv țara noastrǎ”.
„Alături de Uniunea Europeană și NATO, transmitem un mesaj clar: astfel de atacuri, care vizează instituții publice, infrastructură critică și informații sensibile, sunt inacceptabile. Ele fac parte dintr-o campanie hibridă mai amplă, menită să submineze stabilitatea democrațiilor noastre, să alimenteze diviziunile în societate și între aliați și să testeze coeziunea Uniunii Europene și a NATO”, a adăugat președintele României.
„România va continua să acționeze, împreună cu aliații și partenerii săi, pentru consolidarea securității cibernetice și pentru apărarea valorilor, securității și unității comunității euroatlantice”, a conchis Nicușor Dan.