По данным автора доклада, выдержки из которого опубликованы на SecureList со ссылкой на «Лабораторию Касперского», существует группа продвинутых русскоязычных хакеров, которые через коммерческие спутники в Африке и на Ближнем Востоке получают доступ к данным дипломатических и военных ведомств в Соединенных Штатах и Европе – и с помощью этих же спутников скрывают свое местоположение.
Тэнасе утверждает, что хакерская группа носит название Turla – как и вредоносное программное обеспечение, которое она использует. Хакеры также используют для своей группы название «Уроборос» (тоже позаимствованное у вредоносной программы).
Хакеры Turla стали первыми, кто использовал вредоносное ПО для захвата спутника: до сих пор «Лаборатория Касперского» не фиксировала ни одного подобного факта. Они действуют уже на протяжении почти десяти лет и все это время атакуют сайты и базы данных государственных организаций, посольств и крупных компаний в России, Китае и других странах.
«Используемый ими метод делает практически невозможным обнаружить, где физически находятся их серверы, - пояснил Стефан Тэнасе. – Я бы назвал это предельным уровнем анонимности, высшей точкой кибершпионажа».
Turla пользуется тем, что данные, отправляемые обратно с большинства коммерческих спутников, не шифруются, и ими можно манипулировать. По кодам вредоносной программы, обнаруженной западными специалистами, они сумели установить, что хакеры – русскоязычные.
По оценкам экспертов, на преодоление такого уровня атак спутниковым операторам понадобится несколько лет. Обеспечение шифрование исходящего потока данных потребует запуска совершенно новой группировки спутников.