Agencije za sajber bezbednost iz obaveštajne saradnje Five Eyes, koja uključuje Kanadu i SAD, poremetile su globalnu peer-to-peer mrežu računara koju je kompromitovao ruski zlonamerni malver Snake.
U saopštenju od utorka, te zemlje su navele da je jedinica Centra 16 ruske Federalne službe bezbednosti (FSB) odgovorna za operacije Snake.
„Skoro 20 godina, ovaj entitet, koji se u sudskim dokumentima naziva „Turla“, koristio je verzije zlonamernog malvera Snake da ukrade osetljive dokumente iz stotina računarskih sistema u najmanje 50 zemalja koje predstavljaju vlade članica NATO-a, novinare i… . druge mete od interesa za Rusku Federaciju“, navodi Ministarstvo pravde SAD. „Nakon što je ukrao ove dokumente, Turla ih je eksfiltrirao kroz tajnu mrežu kompjutera koji su nesvesno kompromitovani Snake u Sjedinjenim Državama i širom sveta.
U zajedničkoj operaciji pod nazivom Meduza, partneri su onemogućili Turla’s Snake malver na kompromitovanim računarima koristeći alatku PERSEUS koju je razvio FBI, a koja je izdala komande koje su uzrokovale da zlonamerni softver Snake prepiše svoje vitalne komponente.
U Sjedinjenim Državama, operaciju je sproveo FBI na osnovu sudskog naloga koji je dozvolio daljinski pristup kompromitovanim računarima.
Međunarodna koalicija je identifikovala infrastrukturu zlonamernog softvera Snake širom Severne Amerike, uključujući Sjedinjene Države, Južnu Ameriku, Evropu, Afriku, Aziju i Australiju, pa čak i Rusiju.
Akteri FSB-a su koristili Snake da pristupe i eksfiltriraju osetljive dokumente o međunarodnim odnosima, saopštila je koalicija, kao i druge diplomatske komunikacije žrtve u jednoj zemlji Severnoatlantskog saveza (NATO). U Sjedinjenim Državama, FSB ima žrtve u industrijama kao što su obrazovanje, mala preduzeća i medijske organizacije, kao i u oblastima kritične infrastrukture kao što su vladini objekti, finansijske usluge, kritična proizvodnja i komunikacije.
„Rusija je koristila sofisticirani malver da ukrade osetljive informacije od naših saveznika i usmerila ih kroz mrežu zaraženih računara u Sjedinjenim Državama u ciničnom pokušaju da prikrije svoje zločine“, rekao je američki tužilac. „Suočavanje sa izazovom sajber špijunaže zahteva kreativnost i spremnost da koristimo sva zakonita sredstva da zaštitimo našu naciju i naše saveznike. Danas objavljena daljinska pretraga i sanacija koju je odobrio sud pokazuje posvećenost moje kancelarije i naših partnera da koriste sva sredstva koja su nam na raspolaganju da… da zaštitim američki narod“.
Odvojeno, američka agencija za sajber bezbednost i infrastrukturnu bezbednost (CISA) objavila je obaveštenje o kompromisu.
Iako je Operacija Meduza onemogućila zlonamerni softver Snake na kompromitovanim računarima, žrtve bi trebalo da preduzmu dodatne mere da se zaštite od dalje štete, navodi se u preporuci. Operacija onemogućavanja Snake nije zakrpila ranjivosti, niti je skenirala ili uklonila dodatni zlonamerni softver ili hakerske alate koje su hakerske grupe možda postavile na mreže žrtava.
Turla često koristi keylogger sa Snakeom da ukrade korisnička imena i lozinke, navodi se u saopštenju.
U saopštenju, provajder bezbednosti CrowdStrike je rekao da Operacija Meduza naglašava važnost saradnje javnog i privatnog sektora i razmene obaveštajnih podataka o pretnjama u globalnim naporima da se razbiju sofisticirane grupe za sajber napade.
„Ovo je istorijski udar protiv ruskog aparata za sajber špijunažu“, rekao je Tom Kelerman, potpredsednik sajber strategije u Contrast Security. Ministarstvo najavljuje agresivnije akcije koje dolaze.”
Prema CISA, FSB je počeo da razvija Snejk kao “Uroburos” krajem 2003. Činilo se da je razvoj prve verzije implantata završen do početka 2004. godine, a ubrzo nakon toga na implantu su izvedene prve sajber operacije. Naziv Uroburos je prikladan, prema KISA-i, jer je FSB nastavio da nadograđuje i razvija implantat čak i nakon njegovog puštanja u promet, umesto da ga napušta. Ime se pojavljuje u svim ranim verzijama koda, a programeri FSB-a su ostavili i druge jedinstvene stringove, uključujući Ur0bUr()sGoTyOu#,, „koji su se javno vratili da ih progone”.
Dnevne operacije sa Snake su se odvijale iz FSB objekta u Rjazanju, Rusija, prema CISA, uz povećanje aktivnosti Snake tokom radnog vremena FSB-a u Rjazanju, otprilike između 7:00 i 20:00 po moskovskom standardnom vremenu (GMT+3 ) zabeležen. Glavni programeri bili su oficiri FSB sa sedištem u Rjazanju, poznati po nadimcima uključenim u kod nekih verzija Snake. Oficiri FSB iz Rjazana nisu samo razvili Snake, već su ga koristili i za operacije širom sveta, koje su se infrastrukturno i tehnološki razlikovale od drugih operacija koje su pokrenute iz Moskve ili drugih lokacija FSB. Dok su razvoj i konverzije Snake-a istorijski radili službenici FSB-a u Rjazanju, prema KISA-i, operacije Snake su takođe pokrenute iz okupirane zgrade FSB Centra 16 u Moskvi./.itbusiness.ca/