اسأل الأمن السيبراني الغربي محللو الاستخبارات الذين يمثلون مجموعتهم “المفضلة” من المتسللين الأجانب الذين ترعاهم الدولة – الخصم الذي لا يسعهم إلا الإعجاب به على مضض والدراسة بقلق شديد – ولن يسمي معظمهم أيًا من مجموعات القرصنة التي تعمل نيابة عن الصين أو الشمال كوريا. ليس APT41 الصيني ، مع هجماته الوقحة لسلسلة التوريد ، ولا قراصنة Lazarus الكوريين الشماليين الذين قاموا بسرقة ضخمة للعملات المشفرة. لن يشير معظمهم حتى إلى مجموعة قراصنة Sandworm الروسية سيئة السمعة ، على الرغم من الهجمات الإلكترونية غير المسبوقة التي شنتها الوحدة العسكرية ضد شبكات الطاقة أو الشفرات المدمرة ذاتية التكرار.
بدلاً من ذلك ، يميل خبراء اقتحام الكمبيوتر إلى تسمية فريق أكثر دقة بكثير من الجواسيس السيبرانيين الذين ، بأشكال مختلفة ، اخترقوا بصمت الشبكات عبر الغرب لفترة أطول بكثير من أي مجموعة أخرى: مجموعة تعرف باسم تورلا.
أعلنت وزارة العدل الأمريكية ومكتب التحقيقات الفيدرالي (FBI) الأسبوع الماضي أنهما قاما بتفكيك عملية قامت بها Turla – المعروفة أيضًا بأسماء مثل Venomous Bear و Waterbug – والتي أصابت أجهزة كمبيوتر في أكثر من 50 دولة بقطعة من البرامج الضارة المعروفة باسم Snake ، والتي وصفت وكالات أمريكية بأنها “أداة التجسس الأولى” لوكالة المخابرات الروسية FSB. من خلال التسلل إلى شبكة Turla من الأجهزة المخترقة وإرسال أمر البرامج الضارة لحذف نفسها ، تعاملت حكومة الولايات المتحدة مع انتكاسة خطيرة لحملات التجسس العالمية التي قامت بها Turla.
لكن في إعلانها – وفي وثائق المحكمة المقدمة لتنفيذ العملية – ذهب مكتب التحقيقات الفيدرالي ووزارة العدل إلى أبعد من ذلك ، وأكدوا رسميًا لأول مرة التقارير الواردة من مجموعة من الصحفيين الألمان العام الماضي والتي كشفت أن تورلا تعمل لصالح مركز FSB 16 مجموعة في ريازان ، خارج موسكو. كما ألمح إلى طول عمر Turla المذهل كجهاز تجسس إلكتروني: تنص إفادة قدمها مكتب التحقيقات الفيدرالي FBI على أن برنامج Turla’s Snake الخبيث كان قيد الاستخدام منذ ما يقرب من 20 عامًا.
في الواقع ، يمكن القول إن تورلا تعمل منذ 25 عامًا على الأقل ، كما يقول توماس ريد ، أستاذ الدراسات الاستراتيجية ومؤرخ الأمن السيبراني في جامعة جونز هوبكنز. ويشير إلى الدليل على أن تورلا – أو على الأقل نوع من البدائية – تورلا التي ستصبح المجموعة التي نعرفها اليوم – هي التي نفذت أول عملية تجسس عبر الإنترنت من قبل وكالة استخبارات استهدفت الولايات المتحدة ، وهي حملة اختراق متعددة السنوات تُعرف باسم متاهة ضوء القمر.
بالنظر إلى هذا التاريخ ، ستعود المجموعة بالتأكيد ، كما يقول ريد ، حتى بعد تعطيل مكتب التحقيقات الفيدرالي لمجموعة أدواته. يقول ريد: “تورلا هي حقًا APT الجوهري” ، مستخدمًا اختصار “التهديد المستمر المتقدم” ، وهو مصطلح تستخدمه صناعة الأمن السيبراني للإشارة إلى مجموعات القرصنة التي ترعاها الدولة. “أدواته متطورة للغاية ، وخفية ، ومستمرة. ربع قرن يتحدث عن نفسه. حقًا ، إنه الخصم رقم واحد “.
طوال تاريخها ، اختفت تورلا مرارًا وتكرارًا في الظل لسنوات ، فقط لتظهر مرة أخرى داخل شبكات محمية جيدًا بما في ذلك شبكات البنتاغون الأمريكية والمتعاقدين الدفاعيين والوكالات الحكومية الأوروبية. ولكن حتى أكثر من طول عمرها ، فهي تتطور باستمرار براعة تقنية Turla – من الديدان USB ، إلى القرصنة عبر الأقمار الصناعية ، إلى اختطاف البنية التحتية للقراصنة الآخرين – وهذا ما يميزها على مدار تلك السنوات الـ 25 ، كما يقول Juan Andres Guerrero-Saade ، وهو باحث رئيسي في مجال التهديد في شركة الأمن SentinelOne. “تنظر إلى تورلا ، وهناك عدة مراحل ، يا إلهي ، لقد فعلوا هذا الشيء المذهل ، وكانوا رواد هذا الشيء الآخر ، وجربوا بعض الأساليب الذكية التي لم يفعلها أحد من قبل وقاموا بتوسيعها وتنفيذها” ، كما يقول غيريرو -سعد. “كلاهما مبتكر وواقعي ، ويجعلهما مجموعة خاصة جدًا من APT يجب تتبعها.”