俄罗斯最牛黑客团体Turla的黑历史

从USB蠕虫病毒到卫星黑客攻击，被称为Turla的俄罗斯联邦安全局（FSB）黑客在过去25年中一直以“头号对手”自居。

https://www.wired.com/story/turla-history-russia-fsb-hackers/

2023年5月20日上午6:00

如果你问西方的网络安全情报分析师，他们最“喜欢”的一群外国政府支持的黑客是哪一个——他们不得不无奈地钦佩和痴迷研究的对手——大多数人不会提到为中国或北韩工作的众多黑客团体。不会提到中国的APT41，尽管他们大胆地发起供应链攻击的狂潮；也不会提到实施巨额加密货币盗窃的北韩Lazarus黑客。大多数人甚至不会指向俄罗斯臭名昭著的Sandworm黑客团队，尽管该军事单位对电网发起史无前例的网络攻击，制造破坏性的自我复制代码。

相反，计算机入侵的内行人更倾向于提一个作风更加隐秘的网络间谍团队，以各种形式，它们悄无声息地渗透进西方的网络，比其他任何团体都要久远：一个被称为Turla的团队。

上周，美国司法部和联邦调查局宣布（https://www.justice.gov/usao-edny/pr/justice-department-announces-court-authorized-disruption-snake-malware-network），他们已经瓦解了一个由Turla运营的网络行动，该行动也被称作Venomous Bear或Waterbug，它感染了超过50个国家的电脑，安装了被称为Snake的恶意软件。美国机构形容这是俄罗斯联邦安全局（FSB）的“首选间谍工具”。通过渗透Turla黑客机器的网络，并发送命令让恶意软件自删除，美国政府对Turla的全球间谍活动造成了严重挫折。

不过，在宣布这一消息时——还有为了执行这次行动而提交的法庭文件中——FBI和司法部更进一步，首次官方确认了德国记者团队去年的一系列报道，其中披露了Turla为位于莫斯科郊外的FSB的Center 16小组工作。这还暗示了Turla作为顶级网络间谍团队不可思议的长寿：FBI提交的一份宣誓书称，Turla的Snake恶意软件已使用近20年。

事实上，根据约翰霍普金斯大学战略研究和网络安全历史学教授Thomas Rid的说法，Turla至少已运营了25年。他指出的证据表明，就是Turla——或至少是后来我们称之为Turla的那个前身——实施了史上首次针对美国的情报机构网络间谍活动，一场持续多年的黑客行动，名为Moonlight Maze。

鉴于这一历史，即便在FBI最近对其工具包的干预后，这个团队肯定还会回来，Rid说，“Turla确实是典型的高级持续性威胁（APT）。”Rid使用了网络安全行业用于描述精英国家支持的黑客团体的缩写词。“它的工具非常复杂，隐蔽且持久。四分之一个世纪的历史本身就说明了一切。实际上，它是头号对手。”

在它的历史中，Turla一再消失在阴影中好几年，只是为了重新出现在美国五角大楼、国防承包商和欧洲政府机构的受保护网络内。但是，Juan Andres Guerrero-Saade表示，不仅是其长寿，更是Turla不断发展的技术创新——从USB蠕虫、卫星黑客攻击，到劫持其他黑客的基础设施——在这25年中使它与众不同，Guerrero-Saade负责安全公司SentinelOne的威胁情报研究。“当你观察Turla时，会发现它有多个阶段，他们做了这些了不起的事情，他们开创了其他技术，他们尝试了一些前所未有的聪明技巧并将其扩展和实施，”Guerrero-Saade 说。“他们既创新又务实，这使得追踪他们成为一项非常特殊的APT小组的任务。”

以下是Turla二十五年来精英数字间谍活动的简史，时间可以追溯到国家支持的间谍军备竞赛伊始。

1996年：月光迷宫（Moonlight Maze）

当五角大楼开始调查一系列作为单一而庞大的间谍行动侵入美国政府系统时，这一活动至少已进行了两年，并且以巨大的规模窃取美国秘密。1998年，美国联邦调查员发现一群神秘的黑客潜入了美国海军、空军以及美国宇航局（NASA）、能源部（Department of Energy）、环境保护署（Environment Protection Agency）、国家海洋和大气管理局（National Oceanic and Atmospheric Administration）、一些美国大学以及许多其他机构的联网计算机中。有一个估计将黑客窃取的数据总量比作一堆比华盛顿纪念碑高出三倍的文件。

从一开始，反情报分析人员认为这些黑客是俄罗斯人，基于他们对黑客活动的实时监控以及黑客所瞄准的文件类型，该调查中曾任美国国防部情报官员的鲍勃·古利（Bob Gourley）这样说。古利表示，是黑客们明显的组织性和持之以恒的行为在他身上留下了最深刻的印象。“他们会遇到一个障碍，然后一个拥有不同技能和模式的人会接管并突破这个障碍，”古利说，“这不仅仅是几个孩子在做的事。这是一个资源充沛的、国家支持的组织。这真的是第一次，一个国家正在做这件事。”

调查人员发现，月光迷宫的黑客们（这是FBI给他们的代号）在从受害者系统中窃取数据时，使用了一个名为Loki2的定制版本的工具，并会在多年间不断调整这段代码。在2016年，包括里德（Rid）和格雷罗-萨德（Guerrero-Saade）在内的研究团队会引述这个工具及其演变作为月光迷宫实际上是Turla的一个祖先的作品的证据：他们指出，在整二十年后，Turla的黑客在针对基于Linux系统的行动中，使用了一个独特的、同样定制的Loki2版本。

2008年：Agent.btz

距离“月光迷宫”事件十年后，“Turla”再次让美国国防部震惊。2008年，美国国家安全局（NSA）发现一种恶意软件正从美国国防部（DOD）属下的美国中央司令部的分类网络中发出信号。那个网络是“物理隔离”（air-gapped）的，即物理上与连入互联网的网络隔离，没有任何连接。然而，有人却用一种自我复制的恶意代码感染了这个网络，该代码已经复制到了无数台机器上。在美国的系统上，以前从未见过这样的情况。

国家安全局相信，后来被芬兰网络安全公司F-Secure的研究人员命名为Agent.btz的这段代码，是通过有人将感染了的USB闪存驱动器插入物理隔离网络的PC机传播的。确切的是，这些被感染的USB存储器是如何进入国防部员工手中并渗透到美军的数字内部堡垒的，至今未曾发现。尽管一些分析人士推测，这些USB存储器可能只是被随意地丢在停车场里，然后被毫不知情的员工捡起来了。

Agent.btz对五角大楼网络的渗透是如此普遍，以至于它引发了一个多年的倡议，旨在改革美国军方的网络安全，这个项目被称为Buckshot Yankee。它还导致了美国网络司令部的创立，这是NSA的姊妹组织，负责保护国防部网络，如今也是该国最以网络战为导向的黑客们的活动基地。

多年后的2014年，俄罗斯网络安全公司卡巴斯基的研究人员将Agent.btz和Turla的恶意软件之间的技术联系点了出来，后者后来被称为Snake。卡巴斯基当时称这种间谍软件为Uroburos，或简称Turla，它使用了与Agent.btz相同的日志文件名称和一些相同的私钥进行加密，这是臭名昭著的USB蠕虫实际上是Turla创造的首批线索。

2015年：卫星指挥与控制

到了2010年代中期，Turla已经因入侵全球数十个国家的计算机网络而广为人知，经常在受害者的机器上留下其Snake恶意软件的版本。2014年，人们发现它使用了“水坑攻击”手法，该手法通过在网站上植入恶意软件而感染访问者。但是在2015年，卡巴斯基的研究人员发现了Turla更令人瞩目的技术，这种技术极大地加强了这个团队在精细和隐蔽方面的声誉：劫持卫星通信以便通过外太空实质上窃取受害者的数据。

那一年9月，卡巴斯基研究员Stefan Tanase揭露了Turla的恶意软件是如何通过劫持的卫星互联网连接与其指挥控制服务器通信的——而指挥控制服务器是向受感染的计算机发送指令并接收其窃取数据的机器。正如Tanase所描述的，Turla的黑客会在设置在受害者同一区域某处的指挥控制服务器上模拟真实的卫星互联网用户的IP地址。然后，他们会将从黑客攻击的计算机中窃取的数据发送到那个IP，从而通过卫星发射到那位用户那里，但由于会被接收方的防火墙阻挡，数据传输的方式会受影响。

然而，因为卫星正把数据从天空向整个区域广播，因此连接到Turla指挥控制服务器的天线也能够接收到该数据——而追踪Turla的人将无法知晓该区域内这台电脑可能位于何处。Tanase表示，整个精妙得难以追踪的系统每年的运作成本不到1000美元。他在博客帖子中将其形容为“精美”。

2019年：搭Iran便车

很多黑客会使用“假标”行动，部署其他黑客组织的工具或技术来误导调查者。2019年，美国国家安全局(NSA)、网络安全与基础设施安全局(CISA)以及英国的国家网络安全中心警告称，Turla不仅仅是采用了被称为APT34（或称Oilrig）的伊朗黑客组织的恶意软件来制造混乱，它还悄无声息地接管了另一个黑客组的基础设施，掌控了它们整个的间谍行动。

在一份联合咨询中，美国和英国机构透露它们发现Turla不仅仅是部署了伊朗组织使用的恶意软件来播撒迷惑，事实上Turla还设法劫持了伊朗人的指挥和控制系统，在某些情况下获得了截取伊朗黑客所盗取数据的能力，甚至还能向伊朗黑客入侵的受害者电脑发送它们自己的指令。

这些手法显著提高了分析人员归咎于特定黑客组织进行任何侵入行为的难度，实际上可能是Turla或类似狡猾的组织在暗中操纵着从影子中牵引木偶。CISA在当时的警告中表示：“如果发现看起来起源于伊朗APT的活动，小心可能的误归咎。那可能是伪装成Turla组织。”

2022年：劫持僵尸网络

网络安全公司Mandiant今年早些时候报告表示，它发现Turla执行了另一种黑客劫持的变种，这次是接管了一个网络犯罪僵尸网络，以筛查它们的受害者。

2022年9月份，Mandiant发现乌克兰一个网络的用户将USB驱动器插入他们的计算机，并感染了成名已久的银行木马——Andromeda。但是，在更仔细地检查后，Mandiant发现，该恶意软件随后下载并安装了两款他们之前已经与Turla联系在一起的工具。Mandiant发现，俄罗斯间谍注册了Andromeda最初的网络犯罪管理者用来控制其恶意软件的已过期域名，从而获得了控制那些感染的能力，然后在数百个感染案例中搜索对间谍活动可能有兴趣的案例。

这一巧妙的黑客行为具有Turla的所有特点：使用USB驱动器来感染受害者，就像它在2008年使用Agent.btz所做的那样，但现在结合了劫持不同黑客团伙的USB恶意软件来控制它们的控制权的伎俩，正如Turla几年前对伊朗黑客所做的那样。但Kaspersky的研究人员还是提醒说，在乌克兰网络上发现的与Mandiant将操作与Turla联系起来的两种工具，实际上可能是它所说的一个不同团体Tomiris的迹象——这可能表明Turla与另一个俄罗斯国家团体共享工具，或者它现在正在演变为多个黑客团队。

2023年：被Perseus斩首

上周，FBI宣布它已经对Turla进行了反击。FBI利用Turla Snake恶意软件中所使用的加密的一个弱点，以及从被感染的计算机中研究的代码残片，宣布它已经学会了不仅识别出被Snake感染的计算机，还可以向这些计算机发送一个命令，恶意软件将解释为自我删除的指令。FBI使用它开发的一个名为Perseus的工具，从全世界受害者的机器中清除了Snake。与CISA一起，FBI还发布了一份通知，详细说明了Turla的Snake如何通过其自有版本的HTTP和TCP协议发送数据，以隐藏其与其他Snake感染机器和Turla的命令与控制服务器的通信。

这次干扰无疑会破坏Turla黑客多年的工作，因为他们自2003年以来，一直在使用Snake从全世界的受害者那里窃取数据，甚至早于五角大楼发现Agent.btz。恶意软件在对等网络中发送隐蔽数据的能力，使其成为Turla间谍行动的关键工具。

但是没有人应该自欺欺人，认为即使能够彻底清除Snake网络，就意味着终结了俄罗斯最具韧性的黑客团体之一。“这是最优秀的行动者之一，我确信猫鼠游戏会继续进行。”约翰斯·霍普金斯大学的Rid说，“他们比任何人都有适应的历史。当你照亮他们的行动、策略和技巧时，他们就会进化、重新配置并尝试再次变得更隐秘。这是始于1990年代的历史模式。”

“对他们来说，你时间线上的那些空白是一种特色。”Rid补充说，这指的是Turla的黑客技术有时会离开新闻报道和安全研究人员的论文很多年的情况。

至于Gourley，25年前作为情报官员在追踪Turla的Moonlight Maze行动时，他为FBI的行动鼓掌。但他也警告说，消除一些Snake感染与击败俄罗斯最老的网络间谍团队，是两回事。“这是一场无尽的游戏。如果他们还没回到那些系统里，他们很快就会。”Gourley说。“他们不会消失。这不是网络间谍历史的终结。他们肯定会、肯定会回来。”

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a

https://www.cisa.gov/sites/default/files/2023-05/aa23-129a_snake_malware_2.pdf

原文始发于微信公众号（网安志异）：俄罗斯最牛黑客团体Turla的黑历史