Агентство национальной безопасности США (АНБ) и Национальный центр кибербезопасности Великобритании (NCSC) предупредили, что русскоязычная группировка Turla (она же Waterbug, Snake, WhiteBear, VENOMOUS BEAR и Kypton) активно выдает себя за иранских хакеров, используя их инфраструктуру для атак на страны Ближнего Востока.
По данным специалистов, Turla адаптировала для своих целей ранее использовавшиеся инструменты иранских хакеров, Neuron и Nautilus, а также захватила их инфраструктуру через взломанный аккаунт. Затем участники Turla попытались получить доступ к государственным системам, военным организациям и университетам в 35 странах на Ближнем Востоке (успешно скомпрометированы были цели по меньшей мере в 20 странах). Причем по информации АНБ и NCSC иранские хакеры не сотрудничают с Turla и, скорее всего, вообще не знали о взломе.
Похитив иранские инструменты, хакеры протестировали их против организаций, которые уже взломали, используя свой инструментарий Snake перед тем, как искать новых жертв.
Напомню, что о компрометации иранской хак-группы APT34 (она же Oilrig, HelixKitten и Crambus) со стороны Turla еще минувшим летом сообщали эксперты Symantec.