Все это выяснилось в ходе расследования Национального центра кибербезопасности (NCSC), начатого в 2017 года после кибератаки, нацеленной на британское научное учреждение.
NCSC был создан в 2016 году и объединил в себе ресурсы британской электронной разведки - Центра правительственнной связи (GCHQ) - и ряда других организаций в сфере кибербезопасности. Он консультирует британский бизнес в деле защиты от кибератак.
Теснота киберпространства
Атака была выполнена российской группой Turla, которая в ходе взлома пыталась найти инструменты иранской OilRig и скомпрометированные ею системы, выяснили эксперты центра.
В ходе расследования, которое длилось несколько месяцев, они выяснили, что российская группа взломала иранскую, а потом начала пользоваться ее инструментами и сетями, в которые та уже проникла, в ходе собственных операций по сбору данных и взлому других сетей.
Таким образом российские хакеры осуществили атаки против целей в 35 странах, большинство из них - на Ближнем Востоке. По меньшей мере 20 атак увенчались успехом. Их целью был сбор информации, в том числе хищение документов. Атакам подверглись, в частности, правительственные учреждения.
По словам источников в разведке, Turla таким образом получала ту же информацию, что и иранская группа, и при этом пользовалась ее инфраструктурой для собственных операций, заодно надеясь замести следы.
Жертвы дальнейших атак Turla могли думать, что их атакуют из Ирана, хотя на самом деле атаки шли из России.
Нельзя сказать, что Иран был соучастником этих российских атак или что целью этой операции было поссорить эти две страны. Скорее, ситуация, которую мы видим, говорит о том, что мир киберопераций становится сложнее.
"Киберпространство становится все многолюднее", - объясняет операционный директор центра Пол Чичестер.
Чичестер говорит, что раньше не видел таких сложных кибератак. По некоторым утечкам известно, что у США и Британии тоже есть подобные возможности.
Он добавляет, что подставить Иран не было основной целью российских хакеров.
NCSC также не увязывает нападения с правительственными структурами России и Ирана, хотя в ряде случаев Turla связывали с ФСБ, а OilRig предположительно действовала в интересах иранского государства.
"Мы их узнаем"
Расследование по большей части проводили британские эксперты, но отчет о нем был представлен совместно с американским Агентством национальной безопасности. Впервые о том, что Turla взломала другую кибершпионскую группу, сообщила компания Symantec в июне.
Детали произошедшего оглашаются для того, чтобы помочь другим распознавать подобные операции и защищаться, говорит Чичестер.
"Мы хотим дать понять, что даже если хакеры пытаются замаскироваться, наши возможности не хуже и мы их узнаем", - говорит он.
Как хакеры могут отреагировать на публикацию этой информации, чиновники предсказывать не берутся.
Андрей Сошников, корреспондент по кибербезопасности:
Turla - одна из старейших групп русскоязычных хакеров. Также известна как Venomous Bear ("Ядовитый медведь"). Еще в конце 1990-х годов исследователи из ФБР и Скотланд-Ярда нашли в коде одного из вирусов этой группы слово Vnuk, а также подписи хакеров - iron, max и rinat. С тех пор состав группы мог измениться, а набор программ для взлома - многократно усовершенствовался. Но в основе кибероружия Turla по-прежнему лежат наработки 20-летней давности.
Среди жертв этой группы - органы власти и частные компании, связанные с военной сферой. По данным "Лаборатории Касперского", основные цели кибератак - Казахстан, Россия, Китай, Вьетнам и США.
В 2017 году Служба информации и безопасности Чехии обвинила Turla в кибератаках на МИД и министерство обороны этой страны. Чешские спецслужбы, а также ряд компаний в сфере кибербезопасности указывают, что за Turla может стоять ФСБ России.
Американская компания Symantec одной из первых обнаружила, что Turla использует инструменты иранских хакеров. По ее данным, с начала 2018 года Turla, "прикрываясь иранским флагом", атаковала 13 организаций в 10 странах. Среди мишеней - различные министерства стран Южной Азии, Ближнего Востока и Европы, а также IT-компании и образовательные учреждения.
Российские власти многократно отрицали, что используют хакеров в целях кибершпионажа.