BR и WDR: хакеров из группы Turla связали с ФСБ из‑за оставленных в коде логинов vlad и urik
Хакерская группа Turla, также известная как Snake и Uroburos, связана с российской Федеральной службой безопасности, утверждается в расследовании немецких радиостанций Bayerischer Rundfunk и Westdeutscher Rundfunk.
О связях группы, существующей как минимум с 2004 года, с российскими спецслужбами ранее уже заявляла эстонская разведка, не приводя доказательств. Им приписывали атаки на министерства иностранных дел Германии и Финляндии, министерства обороны США и Швейцарии.
Представители британской военно-исследовательской компании BAE Systems обратили внимание, что на «компьютерах, на которых разрабатывались вредоносные программы [Turla]», осталась пара логинов авторов строк кода — vlad и urik.
На неназванном форуме, по данным журналистов, пользователь с ником vlad выкладывал код программы, который помогал установить, какие документы хранились на нужном им компьютере. Схожий алгоритм через два года использовался в атаке хакеров Turla.
У пользователя форума также обнаружили схожую систему папок с автором кода, в котором упоминался vlad.
Пользователь форума учился в Рязанском радиотехническом университете (РГРТУ) и возглавлял рязанский филиал компании в сфере информационной безопасности «ЦентрИнформ». В 2005–2007 годах компания называлась ФГУП «"Атлас" Федеральной службы безопасности». В документах правительства упоминалось, что компания тогда находилась «под кураторством ФСБ». Рязанский филиал «Атласа» указывал в качестве адреса два соседних здания на улице Ленина, принадлежавших управлению ФСБ и части ФСО, утверждает Bayerischer Rundfunk.
По данным издания, пользователь urik также учился в рязанском университете РГРТУ, был сотрудником «ЦентрИнформ» и писал в автобиографии на своем сайте о «работе на ФСБ с 2003 по 2013 годы». В интервью на ютубе он говорил, что в рамках работы с ФСБ занимался «компьютерным шпионажем и контр-шпионажем». Ссылку на видео издание не приводит.
«Turla, также известная как Snake или Uroburos, является одной из самых сложных существующих кампаний по кибершпионажу, — говорится на сайте российского разработчика антивирусных решений "Лаборатория Касперского". — В общей сложности злоумышленникам удалось заразить несколько сотен компьютеров в более чем 45 странах мира. Возглавляет список Франция». BleepingComputer отмечает, что деятельность Turla можно проследить до 1996 года, когда были взломаны компьютеры Минобороны США; та операция получила кодовое название Moonlight Maze.