Venäjän tiedustelupalveluun kytköksissä olevan Turla-kybervakoiluryhmän väitetään hyödyntäneen iranilaisten hakkereiden työkaluja omissa hyökkäyksissään.
Oilrig-ryhmän työkaluja käytettiin jopa yli 30 maahan tehdyissä kyberhyökkäyksissä, joiden kohteina oli yliopistoja, valtiollisia organisaatioita ja sotilasalan toimijoita. Suurin osa hyökkäyksistä tehtiin Lähi-idän maihin.
Britannian kyberturvallisuuskeskuksen (NCSC) ja Yhdysvaltain NSA-viraston selvityksessä todetaan, ettei Iranin valtion ohjaama ryhmä ollut todennäköisesti tietoinen hakkeroinnista.
NCSC:n operaatiojohtaja Paul Chichesterin mukaan tavoitteena on luoda hämmennystä hyökkääjien todellisista taustoista.
– Julkaisemme tiedot, koska Turlan toimintatavat ovat muuttuneet. Haluamme, että muutkin ymmärtävät tilanteen, Chichester sanoi Financial Timesin mukaan.
Myös nimillä Waterbug tai Venomous Bear tunnetun Turlan kerrotaan tarkkailleen Oilrig-ryhmän aiempaa kyberhyökkäystä ja hyödyntäneen samaa takaporttia organisaation järjestelmiin.
– Kyseessä oli opportunistinen operaatio, jonka avulla ryhmä pääsi käsiksi tietoihin, jotka olisivat muuten olleet sen saavuttamattomissa, Paul Chichester totesi.
Hän arvioi, ettei naamioitumista ole aiemmin tehty yhtä huolellisesti.
– Toiminnan monimutkaisuus, mittakaava ja hienonostuneisuus on viety ennennäkemättömän pitkälle. Eri ryhmänä esiintyminen on itse asiassa todella vaikeaa, Chichester jatkaa.
Kyberhyökkäyksiä suorittavien tahojen kerrotaan piilottavan oman toimintansa aiempaa huolellisemmin. Suosittu taktiikka on hyödyntää niin sanottuja ”false flag”-operaatioita, joissa pyritään esiintymään toisena hakkeriryhmänä. Yhdysvaltain tiedustelupalvelun mukaan esimerkiksi Etelä-Korean olympialaisia vastaan iskeneet venäläishakkerit esiintyivät viime vuonna Pohjois-Koreaan sidoksissa olevana Lazarus-ryhmänä.
Kreml ei vastannut FT:n kommenttipyyntöön. Venäjä on kiistänyt kaikki yhteydet ulkomaisiin kohteisiin suoritettuihin kyberhyökkäyksiin.
