# Turla > [!danger] APT Estatal — FSB Russo | Espionagem de Décadas > **Turla** (MITRE G0010), também conhecido como **Snake** ou **Uroburos**, é atribuído ao FSB russo e considerado um dos grupos de espionagem cibernética mais sofisticados e duradouros do mundo, ativo por mais de duas décadas com foco em diplomacia e defesa. ## Visão Geral Turla é um grupo de ameaça persistente avançada atribuído ao Serviço Federal de Segurança russo (FSB), ativo desde pelo menos 2004. O grupo é notável pela longevidade, sofisticação técnica e paciência operacional — permanecer em redes comprometidas por anos sem ser detectado é uma característica distintiva do Turla. Entre os feitos documentados do Turla: comprometimento das redes do Pentágono e Exército dos EUA em 2008 (Agent.btz), infiltração de redes diplomáticas europeias, e em 2023, o hijacking da infraestrutura de C2 do grupo iraniano OilRig/APT34 para conduzir operações secundárias — demonstrando capacidade de pivotar através de infraestrutura de terceiros. O grupo é conhecido pelo malware Snake/Uroburos, uma plataforma modular extremamente avançada com capacidade de comunicação peer-to-peer entre máquinas infectadas. Em 2023, o DOJ/FBI realizaram a "Operação Medusa" para desmantelar a rede Snake, removendo o malware de máquinas infectadas globalmente. Para o Brasil e a América Latina, o Turla representa risco para embaixadas e missões diplomáticas, instituições de ensino superior com pesquisa de defesa, e organizações governamentais com vínculos europeus. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nOSINT / Watering Hole] --> B[Acesso Inicial\nSpear Phishing\nWatering Hole] B --> C[Execução\nSnake / Uroburos\nKazuar backdoor] C --> D[Persistência\nP2P C2 mesh\nRootkit kernel] D --> E[Movimentação Lateral\nCredenciais diplomáticas\nRDP / NTLM] E --> F[Exfiltração\nDocumentos classificados\nComúnicações diplomáticas] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Spear Phishing | [[t1566-phishing\|T1566]] | E-mails temáticos diplomáticos e de defesa | | C2 via HTTP/S | [[t1071-application-layer-protocol\|T1071]] | Comúnicação via serviços legítimos e APIs | | Proxy Encadeado | [[t1090-proxy\|T1090]] | Rede P2P Snake para relay de tráfego | | PowerShell / Scripts | [[t1059-command-and-scripting-interpreter\|T1059]] | Loaders e downloaders customizados | | Hijacking de C2 | [[t1584-acquire-infrastructure\|T1584]] | Uso da infra do APT34 como relay | ## Detecção e Defesa - Monitorar tráfego de rede para padrões de comunicação P2P incomuns - Implementar segmentação de rede em sistemas diplomáticos e de defesa - Aplicar [[m1049-antivirus-antimalware|M1049]] com capacidade de detecção de rootkits de kernel - Revisar conexões de rede para C2 em intervalos regulares com DNS suspeito - Consultar IOCs do FBI Operação Medusa (2023) para verificação de infecções históricas ## Referências - MITRE ATT&CK: [Turla G0010](https://attack.mitre.org/groups/G0010/) - DOJ: Operação Medusa — Desmantelamento da rede Snake (2023) - CISA Advisory AA23-129A: Snake Malware (2023) - Kaspersky: Turla Carbon framework analysis (2017) - ESET: Turla Mosquito backdoor (2018)