Pregúntale a la ciberseguridad occidental analistas de inteligencia quién es su grupo «favorito» de piratas informáticos patrocinados por estados extranjeros, el adversario que no pueden evitar admirar a regañadientes y estudiar obsesivamente, y la mayoría no nombrará a ninguno de los grupos de piratas informáticos que trabajan en nombre de China o del Norte. Corea. Ni el APT41 de China, con sus atrevidas juergas de ataques a la cadena de suministro, ni los piratas informáticos Lazarus de Corea del Norte que realizan robos masivos de criptomonedas. La mayoría ni siquiera señalará al notorio grupo de piratas informáticos Sandworm de Rusia, a pesar de los ciberataques de apagón sin precedentes de la unidad militar contra las redes eléctricas o el código destructivo autorreplicante.
En cambio, los conocedores de la intrusión informática tienden a nombrar un equipo mucho más sutil de ciberespías que, de diversas formas, ha penetrado silenciosamente en las redes de Occidente durante mucho más tiempo que ningún otro: un grupo conocido como Turla.
La semana pasada, el Departamento de Justicia de EE. UU. y el FBI anunciaron que habían desmantelado una operación de Turla, también conocida por nombres como Venomous Bear y Waterbug, que había infectado computadoras en más de 50 países con una pieza de malware conocida como Snake, que el Las agencias estadounidenses describieron como la «herramienta de espionaje principal» de la agencia de inteligencia FSB de Rusia. Al infiltrarse en la red de máquinas pirateadas de Turla y enviarle al malware un comando para que se borre, el gobierno de los EE. UU. asestó un serio revés a las campañas globales de espionaje de Turla.
Pero en su anuncio, y en los documentos judiciales presentados para llevar a cabo la operación, el FBI y el Departamento de Justicia fueron más allá y confirmaron oficialmente por primera vez el informe de un grupo de periodistas alemanes el año pasado que reveló que Turla trabaja para el Centro 16 del FSB. grupo en Riazán, en las afueras de Moscú. También insinuó la increíble longevidad de Turla como uno de los mejores equipos de ciberespionaje: una declaración jurada presentada por el FBI afirma que el malware Snake de Turla había estado en uso durante casi 20 años.
De hecho, podría decirse que Turla ha estado operando durante al menos 25 años, dice Thomas Rid, profesor de estudios estratégicos e historiador de ciberseguridad en la Universidad Johns Hopkins. Señala la evidencia de que fue Turla, o al menos una especie de proto-Turla que se convertiría en el grupo que conocemos hoy, que llevó a cabo la primera operación de ciberespionaje de una agencia de inteligencia dirigida a los EE. UU., una campaña de piratería de varios años conocida como Laberinto de luz de luna.
Dada esa historia, el grupo definitivamente regresará, dice Rid, incluso después de la última interrupción del FBI de su conjunto de herramientas. «Turla es realmente el APT por excelencia», dice Rid, usando la abreviatura de «amenaza persistente avanzada», un término que la industria de la seguridad cibernética usa para los grupos de piratería patrocinados por el estado de élite. “Sus herramientas son muy sofisticadas, sigilosas y persistentes. Un cuarto de siglo habla por sí solo. Realmente, es el adversario número uno”.
A lo largo de su historia, Turla ha desaparecido repetidamente en las sombras durante años, solo para reaparecer dentro de redes bien protegidas, incluidas las del Pentágono de EE. UU., los contratistas de defensa y las agencias gubernamentales europeas. Pero incluso más que su longevidad, es el ingenio técnico en constante evolución de Turla, desde gusanos USB, piratería basada en satélites y secuestro de la infraestructura de otros piratas informáticos, lo que lo ha distinguido durante esos 25 años, dice Juan Andrés Guerrero-Saade, investigador principal de amenazas. en la empresa de seguridad SentinelOne. “Miras a Turla, y hay varias fases en las que, Dios mío, hicieron algo increíble, fueron pioneros en esta otra cosa, probaron una técnica inteligente que nadie había hecho antes, la escalaron y la implementaron”, dice Guerrero. -Saade. «Son innovadores y pragmáticos, y los convierte en un grupo APT muy especial para seguir».