Turla: a Kreml láthatatlan kémgépezete
Van a kiberhadviselésnek egy látványos és egy láthatatlan arca. A látványos az, amikor egy támadás lekapcsol egy áramhálózatot, megbénít egy kórházat, vagy szétzúz egy adatközpontot – ezt szokta a nagyközönség „orosz hekkertámadásként" elképzelni. A Turla ennek épp az ellentéte, és talán ezért is veszélyesebb: nem rombol, nem tüntet, nem hívja fel magára a figyelmet. Csendben beépül, éveket vár, és lop. Ez a gépezet bukkant fel hétfőn Nicușor Dan román elnök Facebook-oldalán is – Románia ugyanis, az EU és a NATO tagállamaival együtt, a valaha volt legcélzottabb orosz digitális kém- és propagandahadjárat kereszttüzében áll.
Mi is az a Turla? Fontos tisztázni: a Turla nem egy program, hanem egy „támadási működési mód" – egy egész arzenálja azoknak az offenzív képességeknek, amelyeket az FSZB-hez, Oroszország egyik fő biztonsági szolgálatához köthető kiberkémkedési műveletekben vetnek be. A biztonsági iparban számos néven ismerik: Snake, Uroburos, Secret Blizzard, Kazuar.
„A Turlát tartják technikai szempontból a legfejlettebbnek és legkompetensebbnek az orosz csoportok között"
– nyilatkozta az AFP-nek egy francia biztonsági forrás. A csoport világszerte ismert, és a különböző kiberbiztonsági közösségek szerint az orosz FSZB-hez kötődik, különféle kormányzati infrastruktúrák kikémlelésére szakosodva. Halim Bourtala, a Group Squad incidenskezelési szakértője szerint mintegy ötven országban ejtettek már áldozatokat. A csoport egyik legfeltűnőbb jellemzője a hosszú élettartama:
„Kivételes, még 2004-re nyúlik vissza. A diszkrét kémkedésre összpontosít, nem próbál kárt okozni vagy rombolni, ezért általában későn fedezik fel"
– tette hozzá Kris Vanhulst, ugyanannak a cégnek az operatív kiberbiztonsági technikai vezetője.
Ez a türelem a Turla igazi fegyvere: nem az a célja, hogy zajt csapjon, hanem az, hogy bent maradjon. A csendes és a hangos: Turla kontra Sandworm Érdemes elhelyezni a Turlát az orosz kiberhadsereg térképén, mert a Kreml többféle „kézzel" dolgozik. A Turla a diszkrét kémkedés mestere; a másik jól ismert orosz szereplő, a katonai hírszerzéshez (GRU) köthető Sandworm ezzel szemben a látványos szabotázsé – hozzá kötik például a 2017-es NotPetya-t, amely a történelem egyik legpusztítóbb kibertámadása volt. A kettő munkamegosztása beszédes: az egyik hallgat és figyel, a másik robbant. Ugyanannak a birodalomnak a két különböző arca.
Mit ért el Franciaországban?
A mostani leleplezés nem elvont: a francia hatóságok konkrét károkról számoltak be.
„A Orosz Föderáció által 2022. február 24-én Ukrajna ellen indított agressziós háború kezdete óta a Turla csoportot arra használják, hogy Ukrajnáról és szövetségeseiről gyűjtött információkkal hozzájáruljon Oroszország háborús erőfeszítéséhez"
– közölte az ANSSI, a francia nemzeti kiberbiztonsági ügynökség. A csoport a francia védelmi minisztérium egyes e-mail-fiókjait, valamint a moszkvai francia nagykövetség hálózatát is feltörte. 2025 februárjában pedig egy, a francia védelmi ipar számára dolgozó, érzékeny technológiákkal foglalkozó kutatóintézetet vettek célba – innen jelentős mennyiségű adat szivárgott ki. A francia hatóságok szerint a Franciaország elleni támadásokért felelős csapatok az FSZB 16-os központjának 61240-es alegységébe tömörülnek, amely a Szentpétervár melletti Krasznoje Selo közelében működik. A hét eleji francia lépés nem maradt szimbolikus: Párizs bekérette az orosz nagykövetet, csakúgy, mint Berlin, amely szintén az „orosz kibertámadás-kampánynak a Turla nevű szereplőhöz való hozzárendeléséről" beszélt.
A Turla hírnevét részben a megtévesztés művészetével alapozta meg. Az egyik jellegzetes fogásuk, hogy korábban iráni csoportokhoz kötött infrastruktúrát és eszközöket használnak – ezzel elrejtik műveleteik valódi eredetét, és megnehezítik a nyomozók dolgát. Emellett, ahogy Vanhulst elmondta, „műholdas kapcsolatokat vásároltak és használtak, hogy ne lehessen őket a hagyományos adatközpontokból visszakövetni". A csoport eszköztára platformokon átívelő: Windows, Linux és macOS környezetben egyaránt otthonosan mozognak, és a bevált kártevőiket – mint a 2016 óta használt Kazuar hátsó kapu – nem eldobják, hanem folyamatosan frissítik. Az attribúció megnehezítésére bevetett módszereik közé tartozik a feltört weboldalak és WordPress-fiókok, a peer-to-peer közvetítőrendszerek és mások – akár állami, akár bűnözői – infrastruktúrájának újrahasznosítása is. Ez a „mások bőrébe bújás" teszi a Turlát a kiberkémkedés egyik legnehezebben tetten érhető szereplőjévé.
A Turla akkor vált igazán ismertté, amikor 2008-ban egy egyszerű USB-stick segítségével behatolt az amerikai védelmi minisztérium rendszerébe – és hosszú ideig bent is maradt. A művelet („Buckshot Yankee" néven vonult be a történelembe) akkora riadalmat keltett, hogy közvetlenül hozzájárult az amerikai kiberparancsnokság, a US Cybercommand felállításához. 2023-ban pedig az FBI számolta fel a Turla által létrehozott Snake nevű kártevővel fertőzött gépek globális hálózatát, amelyet NATO-országok bizalmas dokumentumainak ellopására és újságírók megfigyelésére használtak. Vagyis a csoport nem történelmi kuriózum: két évtizede folyamatosan aktív, és folyamatosan alkalmazkodik.
A mostani leleplezés egy nagyobb, összehangolt európai lépés része. Az EU külügyi főképviselője, Kaja Kallas az Unió nevében kiadott nyilatkozatában ítélte el az Oroszországi Föderáció „ellenséges kiberökoszisztémáját", és nyíltan megnevezte az FSZB 16-os központját mint a Turlát és több más fenyegetési csoportot irányító szervezetet. A célországok listáján Franciaország, Németország, Lengyelország, Ciprus, Hollandia, Ausztria, Szlovákia, Finnország – és Románia szerepel. A dolog súlyát jelzi, hogy július 13-án az EU és Nagy-Britannia első közös kiberszankciós csomagját is bejelentette: Brüsszel kilenc személyre és négy szervezetre, London pedig huszonnégy névre rótt ki korlátozásokat.
A tanulság Romániára nézve kijózanító. A Turla nem az a fajta fenyegetés, amelyet másnap reggel a hírekben látni – épp ellenkezőleg, a sikerét az méri, hogy mennyi ideig marad észrevétlen. Az, hogy most a román elnök osztotta meg a nyilvánossággal, épp a lényeget jelzi: a védekezés első lépése a láthatóvá tétel. Amit évekig a sötétben végeztek, azt most néven nevezik – és a néven nevezés, ha nem is állítja meg a gépezetet, legalább elveszi tőle a legnagyobb fegyverét, a láthatatlanságot.
Felhasznált források: HotNews, The Insider
CERT: „Targeting and Compromise of French Entities Using the Turla Intrusion Set"🔗 🔗(2026. július 13.):
GBHackers: „Russian FSZB-Linked Turla Hackers Target French Ministries, Embassies, and Defense Entities"
BleepingComputer: „EU and UK hit Russia with first joint cyber sanctions package"
Tetszett a cikk?
Támogassa a munkánkat egy kis adománnyal
Biztonságos fizetés Stripe-on keresztül • Min. 2 EUR
Gesta-ajánló:

A hazugsággyár nem sztrájkol – és most már mesterséges intelligenciával dolgozik három műszakban
Ha azt hitted, az orosz dezinformáció valami sötét pincében kucorgó trollhadsereg, frissítened kell a képet. A friss uniós elemzések szerint egy iparszerűen szervezett, öt nagy hálózatra épülő gépezetről van szó, amely 2024-ben 322 szervezetet célzott meg 90 különböző országban – és amely mostanra beszerezte a tökéletes új munkaerőt: a mesterséges intelligenciát. Nem új trükköket hoz, hanem…

„Nem félek a felfüggesztéstől" – Nicușor Dan a vonatról üzent, miközben az ország kisiklott
Van abban valami baljósan szimbolikus, hogy a román elnök épp egy száguldó vonaton, Kijevből hazafelé mondta el, mit gondol a hazai politikai patthelyzetről – miközben otthon, Bukarestben, a kormányozhatóság már rég a sínek mellett hever. Nicușor Dan „a politikai éretlenség jelének" nevezte az előrehozott választást, „komolytalan témának" a saját felfüggesztését, és közölte: egyelőre nem közvetít…

Elillant a szatyor fing, élvezzük a friss levegőt!
Ünnepelhet ma Magyarország szabadságszerető népe, mert a Tisza-kormány megnyerte első IGAZI csatáját: Sulyok Tamás aláírta az Alaptörvény tizenhetedik módosítását, azt a bizonyosat, amely — micsoda pikantéria — az ő köztársasági elnöki megbízatását is megszünteti. Amint a Magyar Közlönyben megjelenik, másnap vége, mehet haza, és nem is önmagában a távozás ténye a győzelem, hiszen annak az…

Meghackelték a román földhivatalt és ellopták az adatokat
Kedden, július 14-én kibertámadás érte az Országos Kataszteri és Ingatlan-nyilvántartási Ügynökséget (ANCPI) — ez az intézmény kezeli az egész ország ingatlan- és telekkönyvi adatait.

Mariupol után: a megszállás traumái évekkel később is ölnek
A hivatalos áldozati statisztikák csak azokat számolják, akiket azonnal megöl egy rakéta vagy egy golyó. De mi van azokkal, akik túlélik az ostromot, a szűrőtáborokat, a verést – aztán hónapokkal vagy évekkel később halnak bele mindabba, amit elszenvedtek? A The Reckoning Project oknyomozó anyaga, Inna Kubai kutatása épp ezt a láthatatlan veszteséget térképezi fel: a megszállás alatt szerzett…