Chiedete agli analisti dell’intelligence sulla sicurezza informatica occidentale qual è il loro gruppo “preferito” di hacker sponsorizzati da stati stranieri – l’avversario che non possono fare a meno di ammirare a malincuore e studiare ossessivamente – e la maggior parte non nominerà nessuno dei tanti gruppi di hacker che lavorano per conto di Cina o Corea del Nord. Non l’APT41 cinese, con la sua sfacciata ondata di attacchi alla catena di approvvigionamento, né gli hacker nordcoreani Lazarus che mettono a segno massicci furti di criptovalute. La maggior parte non indicherà nemmeno il famigerato gruppo di hacker russi Sandworm, nonostante gli attacchi informatici senza precedenti dell’unità militare contro le reti elettriche o il codice auto-replicante distruttivo.
Invece, gli intenditori di intrusioni informatiche tendono a nominare una squadra molto più sottile di spie informatiche che, in varie forme, è penetrata silenziosamente nelle reti occidentali per molto più tempo di qualsiasi altra: un gruppo noto come Turla.
La scorsa settimana, il Dipartimento di Giustizia degli Stati Uniti e l’FBI hanno annunciato di aver smantellato un’operazione di Turla, nota anche con nomi come Venomous Bear e Waterbug, che aveva infettato i computer in più di 50 paesi con un malware noto come Snake, che il Agenzie statunitensi descritte come il “principale strumento di spionaggio” dell’agenzia di intelligence russa FSB. Infiltrandosi nella rete di computer violati di Turla e inviando al malware un comando per autocancellarsi, il governo degli Stati Uniti ha inflitto una grave battuta d’arresto alle campagne di spionaggio globali di Turla.
Ma nel suo annuncio – e nei documenti del tribunale depositati per portare a termine l’operazione – l’FBI e il DOJ sono andati oltre, e hanno confermato ufficialmente per la prima volta la notizia di un gruppo di giornalisti tedeschi l’anno scorso che ha rivelato che Turla lavora per il Centro 16 dell’FSB gruppo a Ryazan, fuori Mosca. Ha anche accennato all’incredibile longevità di Turla come top spionaggio informatico: una dichiarazione giurata presentata dall’FBI afferma che il malware Snake di Turla era in uso da quasi 20 anni.
In effetti, Turla opera probabilmente da almeno 25 anni, afferma Thomas Rid, professore di studi strategici e storico della sicurezza informatica alla Johns Hopkins University. Indica le prove secondo cui è stata Turla, o almeno una sorta di proto-Turla che sarebbe diventata il gruppo che conosciamo oggi, a eseguire la prima operazione di spionaggio informatico da parte di un’agenzia di intelligence contro gli Stati Uniti, una campagna di hacking pluriennale nota come Labirinto al chiaro di luna.
Data questa storia, il gruppo tornerà assolutamente, dice Rid, anche dopo l’ultima interruzione del suo toolkit da parte dell’FBI. “Turla è davvero l’APT per eccellenza”, afferma Rid, utilizzando l’abbreviazione di “advanced persistent threat”, un termine che l’industria della sicurezza informatica utilizza per i gruppi di hacking d’élite sponsorizzati dallo stato. “I suoi strumenti sono molto sofisticati, sono furtivi e persistenti. Un quarto di secolo parla da sé. Davvero, è l’avversario numero uno.
Nel corso della sua storia, Turla è ripetutamente scomparsa nell’ombra per anni, solo per riapparire all’interno di reti ben protette, comprese quelle del Pentagono degli Stati Uniti, degli appaltatori della difesa e delle agenzie governative europee. Ma ancor più della sua longevità, è l’ingegnosità tecnica in continua evoluzione di Turla – dai worm USB, all’hacking satellitare, al dirottamento dell’infrastruttura di altri hacker – che l’ha contraddistinta in questi 25 anni, afferma Juan Andres Guerrero-Saade, uno dei principali ricercatori sulle minacce presso la società di sicurezza SentinelOne. “Guardi Turla, e ci sono più fasi in cui, oh mio dio, hanno fatto questa cosa incredibile, hanno aperto la strada a quest’altra cosa, hanno provato una tecnica intelligente che nessuno aveva mai fatto prima e l’hanno ridimensionata e implementata”, dice Guerrero -Sade. “Sono entrambi innovativi e pragmatici, e questo li rende un gruppo APT molto speciale da monitorare.”
