Un grup de hackeri iranian a fost însuși piratat de un grup rus pentru a spiona mai multe țări, au dezvăluit agențiile de informații din Marea Britanie și SUA.
Grupul iranian – sub numele OilRig – și-a compromis operațiunile de un grup cu sediul rus cunoscut sub numele de Turla.
Rușii au invadat grupul iranian pentru a viza alte victime.
O anchetă a Centrului Național de Securitate Cibernetică (NCSC), începută în 2017, într-un atac asupra unei instituții academice din Marea Britanie, a descoperit dubla tratare.
Spațiu aglomerat
NCSC a descoperit că atacul asupra instituției a fost efectuat de grupul rus Turla, despre care a realizat că scanează capabilitățile și instrumentele utilizate de OilRig, din Iran.
Într-o anchetă care a durat luni de zile, a devenit clar că grupul rus a vizat grupul iranian și apoi a folosit instrumentele și accesul său pentru a colecta date și a compromite alte sisteme.
Au fost descoperite atacuri asupra a peste 35 de țări, cu majoritatea victimelor aflate în Orientul Mijlociu. Cel puțin 20 au fost compromise cu succes. Ambiția era de a fura secrete, iar documentele au fost luate dintr-o serie de ținte, inclusiv de guverne.
Agențiile de informații au declarat că Turla a pus mâna pe informațiile pe care iranienii le furau, dar că și-a desfășurat propriile operațiuni folosind accesul iranian și sperând că va ascunde urmele.
Victimele ar fi putut presupune că au fost compromise de grupul iranian când, de fapt, adevăratul vinovat avea sediul în Rusia.
Nu există dovezi că Iranul a fost complice sau conștient de utilizarea de către ruși a accesului lor sau că activitatea a fost făcută pentru a stimula probleme între țări, dar este un semn al lumii din ce în ce mai complexe a operațiunilor cibernetice.
„Acesta va deveni un spațiu foarte aglomerat”, a explicat Paul Chichester, directorul operațiunilor pentru NCSC, brațul protector al agenției de informații GCHQ.
El adăugând că nu a văzut anterior un atac atât de sofisticat. În mod separat, s-a raportat în cazul scurgerilor că SUA și Marea Britanie au, de asemenea, capacități similare.
Domnul Chichester a spus că nu va descrie atacurile hack-urilor rusești drept un „steag fals”, deoarece nu a fost o încercare de a încadra în mod deliberat pe altcineva.
De asemenea, NCSC nu ar atribui în mod direct atacurile statelor ruse și iraniene, dar Turla a fost legată anterior de alții de Serviciul de securitate al Rusiei, FSB și OilRig de statul iranian.
„Le putem identifica”
Ancheta a fost în primul rând una din Marea Britanie, dar detaliile sunt dezvăluite în comun de către NCSC și NSA din America. În iunie, compania de securitate privată Symantec a făcut un raport despre Turla care compromite un alt grup de spionaj.
Domnul Chichester a spus că scopul dezvăluirii detaliilor a fost să îi ajute pe ceilalți să detecteze această activitate și să se apere.
“Vrem să trimitem un mesaj clar că, chiar și atunci când cyber-actorii încearcă să-și mascheze identitatea, capacitățile noastre sunt o potrivire pentru ei și îi putem identifica”, a spus el.
Modul în care cele două grupuri vor reacționa la expunere nu este ceva ce oficialii au spus că ar putea prezice.