Moonlight Maze là một cuộc điều tra của chính phủ Hoa Kỳ năm 1999 về một vụ rò rỉ thông tin mật lớn nhất của nước này. Vụ rò rỉ này bắt đầu vào năm 1996. Nó làm ảnh hưởng trực tiếp đến NASA, Lầu Năm Góc, nhà thầu quân sự, học giả dân sự, DOE, và nhiều cơ quan chính phủ khác của Hoa Kỳ.[1] Do đó đến cuối năm 1999, lực lượng đặc nhiệm Moonlight Maze được thành lập bao gồm 40 chuyên gia đến từ các cơ quan thực thi pháp luật, quân đội và chính phủ.[2] Các nhà điều tra cho biết nếu tất cả thông tin bị đánh cắp được in ra và xếp chồng lên nhau, thì nó sẽ cao gấp ba lần Đài tưởng niệm Washington, cao 555 ft (169 m).[3][4] Chính phủ Nga bị Hoa Kỳ cáo buộc đứng sau các cuộc tấn công, mặc dù ban đầu có rất ít bằng chứng xác thực để chứng minh cho các cáo buộc đó ngoài một địa chỉ IP của Nga được truy ra từ vụ hack. Moonlight Maze đại diện cho một trong những chiến dịch gián điệp mạng nổi tiếng đầu tiên trong lịch sử thế giới. Nó thậm chí còn được phân loại là Advanced persistent threat (một chỉ định cực kì nghiêm trọng đối với các tác nhân lén lút đe dọa mạng máy tính, thường là một quốc gia hoặc nhóm được nhà nước tài trợ) sau hai năm bị tấn công liên tục. Mặc dù được coi là một cuộc tấn công riêng lẻ trong nhiều năm nhưng các cuộc điều tra không liên quan đã tiết lộ rằng tác nhân đe dọa tham gia vào cuộc tấn công vẫn tiếp tục hoạt động và sử dụng các phương pháp tương tự cho đến tận năm 2016.
Vụ tấn công bắt đầu từ việc tin tặc xây dựng "cửa sau" để qua đó họ có thể tùy ý vào lại hệ thống đã xâm nhập và lấy cắp thêm dữ liệu; họ cũng để lại các công cụ định tuyến lưu lượng truy cập mạng cụ thể thông qua Nga. Mọi thứ họ khai thác được trong các cuộc tấn công đều là các tài nguyên có sẵn công khai, không phải do họ tự tạo ra.[5] Trong hầu hết các trường hợp, việc khai thác được quản trị viên hệ thống phát hiện với mục đích thông báo cho chủ sở hữu về các lỗ hổng có trong hệ thống của họ, nhưng thay vào đó những lỗ hổng ấy lại bị sử dụng cho mục đích xấu.[5] Các tin tặc đã thành công đánh cắp thông tin vì nhà sản xuất và người bảo trì phần mềm không thận trọng trong việc đảm bảo không có sai sót trong hệ thống của họ. Sự chủ quan này là do trước khi chiến dịch Moonlight Maze nổ ra, rất ít người nhận thức được thiệt hại có thể xảy ra từ các cuộc tấn công mạng, do internet ở thời điểm này vẫn còn tương đối mới lạ. Do đó, dữ liệu lưu trữ trên mạng internet cực kỳ dễ bị công kích và không khó để xâm nhập, dẫn đến một trong những vụ rò rỉ dữ liệu mật lớn nhất trong lịch sử. Để che giấu vị trí của họ và đánh lạc hướng các nhà điều tra, tin tặc đã chuyển tiếp kết nối của họ qua nhiều tổ chức khác nhau dễ bị tấn công như trường đại học, thư viện, v.v. vì các máy chủ mà họ tấn công chỉ có thể điều tra ra được vị trí cuối cùng mà họ đã định tuyến qua (được gọi là ủy quyền).
Phát biểu về cuộc tấn công trước Quốc hội, James Adams, Giám đốc điều hành của Cơ sở hạ tầng Quốc phòng Inc, cảnh báo rằng "dữ liệu bị đánh cắp đã được chuyển qua Internet đến Moscow để bán cho người trả giá cao nhất" và thông báo "Kho dữ liệu bị đánh cắp này có trị giá hàng chục đến hàng trăm triệu đô la Mỹ."[6] Thông tin thu hồi được trong vụ hack có thể bao gồm các mã hải quân mật và dữ liệu về hệ thống dẫn đường tên lửa, cũng như các dữ liệu quân sự có giá trị cao khác. Tin tặc cũng đã đánh cắp hàng chục nghìn tệp chứa nghiên cứu kỹ thuật, bản đồ quân sự, sơ đồ tổ chức bộ máy quân đội Hoa Kỳ, thiết kế phần cứng quân sự, kỹ thuật mã hóa và nhiều dữ liệu quan trọng khác nhưng chưa được phân loại liên quan đến kế hoạch chiến tranh của Lầu Năm Góc, tất cả đều có thể bị bán cho kẻ thù của Hoa Kỳ.[7] Những cuộc tấn công này tác động rất nghiêm trọng đến khả năng phòng vệ của Hoa Kỳ. Với thông tin thu được từ cuộc tấn công, tin tặc có thể đã làm tê liệt hệ thống tên lửa phòng thủ của Mỹ và gây ra thiệt hại không thể tưởng tượng được. Juan Andres Guerrero-Saade, Nhà nghiên cứu bảo mật cấp cao tại Kaspersky Lab, đã tuyên bố "Việc phân tích các mẫu của Moonlight Maze không chỉ là một nghiên cứu hấp dẫn; nó còn là lời nhắc nhở đến những đối thủ đáng gờm rằng những điều họ cố gắng làm sẽ không có kết quả, mà tùy thuộc vào việc chúng tôi bảo vệ hệ thống với các kỹ năng phù hợp."[3]
Turla (tiếng Nga) là một tác nhân đe dọa được biết đến với các chiến thuật trộm cắp dữ liệu bí mật như sử dụng các kết nối vệ tinh bị tấn công, waterholing các trang web của chính phủ, sử dụng kênh bí mật cửa hậu, rootkits, và các chiến thuật lừa đảo khác. Nguồn gốc của nhóm bắt nguồn từ Agent.BTZ nổi tiếng một thời, một loại virus máy tính có khả năng tự tái tạo cũng như quét và đánh cắp dữ liệu. Virus này từng được sử dụng để làm tê liệt quân đội Hoa Kỳ trong một thời gian ngắn và được một quan chức cấp cao của Lầu Năm Góc mô tả là "vụ vi phạm nghiêm trọng nhất đối với máy tính của quân đội Hoa Kỳ từ trước đến nay".[8] Điều này cho thấy nhóm nổi lên vào khoảng năm 2006–2007, một vài năm trước Agent.BTZ và gần 10 năm sau các sự kiện của Moonlight Maze. Tuy nhiên, nhiều năm sau thông tin đó mới xuất hiện tạo mối liên kết giữa Turla với Moonlight Maze. Một nhóm bao gồm Kaspersky's Guerrero-Saade, Costin Raiu, King's College London's Thomas Rid và Danny Moore đã lần theo dấu vết của một quản trị viên CNTT đã nghỉ hưu, người này là chủ sở hữu của một máy chủ năm 1998 đã được sử dụng làm proxy cho Moonlight Maze.[3] Đây là một bước đột phá lớn sau khoảng thời gian dài được cho là không hoạt động (gần 20 năm) của Turla. Sau đó, họ sử dụng máy chủ để theo dõi tác nhân đe dọa và từ đó họ có thể truy xuất nhật ký đầy đủ về mã của kẻ tấn công. Gần một năm sau khi phân tích kỹ lưỡng, họ có thể tìm thấy mối liên hệ giữa Các mẫu Linux ở Turla và Moonlight Maze đã sử dụng (mã mà họ chia sẻ có liên quan đến một cửa hậu được sử dụng trên LOKI 2, một chương trình tạo đường hầm thông tin được phát hành vào năm 1996).