Kako je ‘Bijeli medvjed’ iz Kremlja okupio najbolje ruske hakere

Za razliku od već poznatih grupa Fancy Bear, Tsar, Iron Claw i APT28, a koje su sve na neki način povezane sa Kremljom, grupa Turla je na višem nivou – i po sofisticiranosti, i po odabiru meta.

Američka agencija za odbranu i bezbjednost (DIA) po prvi put je 2014. godine upozorila na postojanje 'ekspertske grupe' unutar ruskog obavještajnog sistema (Reuters - Ilustracija)

Iako Rusija ima na raspolaganju veliki broj obaveštajnih službi, kako civilnih, tako i vojnih, te “neformalne” hakerske grupe, jedna od njih je do sada uspevala da izbegne pažnju javnosti.

Grupa Turla je sastavljena od najboljih ruskih hakera, koji su godinama “trenirali” na više od hiljadu hakerskih napada u najmanje 45 zemalja širom sveta.

Plovidba hakerskim vodama

Kada je početkom 18. veka turski sultan Ahmed Treći Osvajač značajno proširio svoje carstvo, nije očekivao da će stići čak i do predela današnje Ukrajine. Ahmed Treći je po dolasku na vlast rešio da prekine tradiciju svojih prethodnika, po kojoj je vojska Otomanskog carstva bila podeljena u dve grupe – regularne jedinice i janičare. Komandanti janičara su često nezavisno, bez znanja sultana, napadali i saveznike, te ih pljačkali. Dana 23. avgusta 1703. godine, za jednu noć je pogubio svih 11 generala janičarske vojske, a janičare prekomandovao u redove konjice i pešadije. Ovakva reformisana otomanska vojska će odigrati ključnu ulogu osam godina kasnije, u ratu sa ruskom vojskom. Najveća bitka se odigrala na reci Dnjestar, koja izvire u Ukrajini i teče kroz Moldaviju. Bitka na Dnjestru je bila trijumf ruske vojske, obučavane delimično i od švedskih oficira, a nakon nje je stala i dalja ekspanzija otomanskih osvajača. Tursko ime za reku Dnjestar je – Turla.

Američka agencija za odbranu i bezbednost (DIA) po prvi put je 2014. godine upozorila na postojanje “ekspertske grupe za sajber-bezbednost” unutar ruskog obaveštajnog sistema. Za razliku od već poznatih grupa Fancy Bear (Razigrani medved), Tsar, Iron Claw i APT28, a koje su sve na neki način povezane sa Kremljom, nova grupa je na višem nivou – i po sofisticiranosti, i po odabiru svojih meta. Mete su mahom bile ambasade istočnoevropskih zemalja unutar Evropske unije, kao i u SAD-u i Velikoj Britaniji. Ambasade u Belgiji, Grčkoj, Poljskoj i Nemačkoj su bile mete najmanje 10 puta, a bili su ukradeni i tzv. digitalni ključevi za autentifikaciju korisnika unutar samih ambasada.

Stručnjacima za sajber-bezbednost je odmah bilo jasno da ova grupa, koja se na nekim hakerskim forumima na mračnom internetu (dark web) predstavljala kao “Beli medved” (WHiT3 B3aR), ne želi novac ili “otkup” za ukradene podatke, poput većine drugih hakerskih grupa. Ono što je “Beli medved” hteo su diplomatski dokumenti koji se šalju kroz specifične kanale komunikacije (diplomatic cables), te identitet zaposlenih u ambsasadama širom sveta.

Trajno onemogućavanje rada kompjutera

Možda i najpoznatiji napad “Belog medveda” je onaj na američko Ministarstvo odbrane (DoD) iz 2008. godine. Jedan od oficira u bazi američkog vazduhoplovstva u Kuvajtu (Camp Arifjan), doneo je po povratku u SAD službeni laptop, sa poverljivim podacima i fotografijama američkih dronova iz Iraka. Iako isprva nije bilo sumnji u bezbednost samog računara, kasnije se ispostavilo da je na njega, najverovatnije sajber napadom, ubačen izuzetno napredan računarski kod. Ovaj kod bi preuzeo tzv. boot loader softver, koji se pokreće odmah po uključivanju laptopa a pre operativnog sistema, te ga je izuzetno teško detektovati.

Kada je ovaj zaraženi laptop priključen na mrežu američkog Ministarstva odbrane, neopaženo se iskopirao i na druge sisteme. Broj zaraženih računara unutar ministarstva je i danas državna tajna, ali stručnjaci procenjuju da broj nije manji od 4.000. Kada se ovaj računarski kod proširio na dovoljna broj računara, počeo je da samostalno kopira dokumente, te da ih šalje na više hiljada internetskih IP adresa širom sveta. Ako bi se pokušalo brisanje ili isključivanje računara sa mreže, ovaj virus bi napravio fajl ‘agent.btz’ koji bi trajno onemogućio rad kompjutera.

Kasnije je analizom koda otkriveno da je ‘agent.btz’ unapređena verzija računarskog virusa ‘SillyFDC’, za koga se već znalo da je “poreklom” iz jedinica povezanih sa ruskom vojnom obaveštajnom službom GRU. Pentagon je proveo narednih 14 meseci brišući ‘agent.btz’ iz svojih sistema, a kao rezulat ovog incidenta u Ministarstvu odbrane su i danas zabranjeni USB diskovi, prenosni SSD drajvovi i slični uređaji.

Na nekim od zaraženih računara, prilikom slanja podataka hakerima, pojavila bi se poruka-slika sastavljena od slovnih karaktera (ASCII kod) na kojoj je pisalo “Мы из реки Турла” (mi smo sa reke Turla), pa je tako ova grupa hakera dobila i svoje novo ime.

Djeluju i na Balkanu

IT stručnjak Nemanja Tasić navodi da ova i slične grupe deluju širom Evrope, a naročito na Balkanu.

“Rusija i sam Putin već decenijama smatraju region bivše Jugoslavije za svoje ‘dvorište’, sa posebnim akcentom na Srbiju i Bosnu i Hercegovinu, a poslednje dve godine i na Crnu Goru. Interes je pre svega ekonomske prirode, uticaj na snabdevanje energentima, gasom i naftom. Ogroman novac od ove trgovine je godinama ulagan u kompanije širom regije, a često su Vlade uzimale i kredite od ruskih banaka”, navodi Tasić.

“U današnjoj međunarodnoj situaciji i agresiji na Ukrajinu, Rusija vidi naš region kao ‘poslednje uporište’ u Evropi, a Srbiju kao poslednjeg saveznika, i svakako neće skrštenih ruku dozvoliti potpuno okretanje ka EU integracijama i eventualno uvođenje sankcija. Hakerski napadi bi u tom slučaju bili sasvim sigurni, ako se Rusija ne odluči i na dalju ozbiljniju destabilizaciju Balkana”, dodaje.

I hakeri su braća

Kompanija za bezbednost podataka ‘Symantec’ je još 2019. godine utvrdila, nakon analize virusa grupe Turla, da su njeni pripadnici ruski ili beloruski državljani. To se vidi na osnovu načina pisanja koda, semantike, ali i čestih napomena unutra samog koda (namenjenih drugim članovima grupe) na ruskoj ćirilici.

Turla koristi i jedinstveni pristup hakerskim napadima, po čemu je jedinstvena – ‘pilferovanje’. Od engleskog žargona to pilfer (krasti sitne stvari), računarski virusi ove grupe “ne žure”, već podatke i dokumente prikupljanju tokom dužeg perioda, obično i par meseci, nakon čega ih šifruju i šalju na IP adresu na mračnom internetu (dark web). Jedan od njihovih alata, nazvan ‘Brown Cub’ (smeđi medvedić) može da pretražuje email poruke po ključnim rečima, pa tako može da pronađe dokumente u kojima se pominje npr. samo ‘NATO’ ili ‘ambasada u Sarajevu’.

Američke agencije NSA, DIA i FBI smatraju da je “šef” grupe Turla ruski državljanin Petar Nikolajevič Pliskin. On ima nadimak “Mađioničar” i smatra se jednim od najvećih sajber-eksperata unutar ruske obaveštajne zajednice, a do 2012. godine bio je i pripadnik regularne vojne obaveštajne jedinice pod imenom ‘Jedinica 74455’. Njegov zamenik u grupi Turla je najverovatnije Artem Ochichenko, takođe nekadašnji pripadnik ove jedinice. On je najverovatnije i autor malware-virusa pod imenom ‘Rybamech’, koji je korišćen od 2013. do 2016. u brojnim hakerskim napadima na finansijske institucije širom Evropske unije.

Poslednjih nedelja, na forumima i web sajtovima za računarsku bezbednost pojavile su se objave najveće globalne hakerske grupe (koji sebe više nazivaju kolektivom ili ‘hacktivistima’) – Anonymous (Anonimni). Oni su objavili “sajber rat” Rusiji i Kremlju, kao i grupama Fancy Bear i Turla. ‘Anonimni’ su naveli da su do sada izvršili više od 1.500 sajber napada na ruske informacione sisteme, te da su u posedu 1,5 terabajta osetljivih dokumenata iz ruskog Ministarstva odbrane. Napadnut je i sajt naftnog giganta Gazprom i nekoliko sati su se na njemu vrtele – popularne muzičke numere iz Ukrajine.

Izvor: Al Jazeera