Как США ликвидировали сеть вредоносных программ, которую российские шпионы использовали для кражи государственных секретов
правительство США В нем говорится, что это сорвало длительную российскую кампанию кибершпионажа, в ходе которой конфиденциальная информация была украдена у правительств США и НАТО, процесс, на который у федералов ушло почти 20 лет.
Министерство юстиции объявить Во вторник операция ФБР успешно уничтожила «змеиную» сеть вредоносного ПО, используемую Turla, печально известной хакерской группой, давно связанной с Федеральной службой безопасности (ФСБ) России. Ранее Turla была связана с кибератакой, направленной против Центрального командования США, НАСА и Пентагона.
Официальные лица США описывают Snake как «самый сложный инструмент кибершпионажа в арсенале ФСБ».
Министерство юстиции и его глобальные партнеры обнаружили вредоносное ПО Snake в сотнях компьютерных систем по меньшей мере в 50 странах. Прокуроры заявили, что российские шпионы, стоящие за Turla Group, использовали вредоносное ПО для нападения на государства-члены НАТО и другие цели российского правительства с 2004 года.
В Соединенных Штатах ФСБ использовала свою обширную сеть компьютеров, зараженных вирусом Viper, для нанесения ударов по отраслям, включая образование, малый бизнес и средства массовой информации, а также для критически важных секторов инфраструктуры, включая государственные коммунальные услуги, финансовые услуги, производство и связь. ФБР заявило, что получило информацию, указывающую на то, что Turla также использовала вредоносное ПО Snake для атаки на персональный компьютер журналиста неназванной американской новостной компании, которая сообщила российскому правительству.
Прокуратура добавила, что Снейк продолжает взаимодействовать со скомпрометированной компьютерной системой «на неопределенный срок», несмотря на усилия жертвы по нейтрализации заражения.
Министерство юстиции заявило, что после того, как конфиденциальные документы были украдены, эта информация была украдена через секретную одноранговую сеть взломанных компьютеров Snake в США и других странах, что затруднило обнаружение существования сети.
Из Бруклина в Москву
в соответствии с заявление ФБРВласти США следили за распространением вредоносного ПО в течение нескольких лет вместе с хакерами Turla, запускающими Snake из объектов ФСБ в Москве и соседней Рязани.
ФБР заявило, что разработало инструмент под названием «Персей» — греческий герой, убивавший монстров, — который позволяет его агентам идентифицировать сетевой трафик, который пыталась зашифровать вредоносная программа Snake.
В период с 2016 по 2022 год сотрудники ФБР определили IP-адреса восьми скомпрометированных компьютеров в США, расположенных в Калифорнии, Джорджии, Коннектикуте, Нью-Йорке, Орегоне, Южной Каролине и Мэриленде. (ФБР заявило, что оно также предупредило местные власти о необходимости установки змеиной инфекции на скомпрометированные устройства, расположенные за пределами Соединенных Штатов.)
С согласия жертвы ФБР получило удаленный доступ к некоторым скомпрометированным устройствам и контролировало каждое из них «годами». Это позволило ФБР идентифицировать других жертв в сети Snake, разработать возможности для выдачи себя за операторов Turla и отдавать приказы вредоносному ПО Snake, как если бы агенты ФБР были русскими хакерами.
Затем на этой неделе, после получения ордера на обыск от федерального судьи в Бруклине, штат Нью-Йорк, ФБР получило зеленый свет на издание коллективного приказа о закрытии сети.
ФБР использовало инструмент Perseus для имитации встроенных команд Snake, которые при отправке Perseus с компьютера ФБР «прекратят работу приложения Snake, а также навсегда отключат вредоносное ПО Snake, перезаписав жизненно важные компоненты имплантата Snake, не затрагивая любые легитимные приложения или файлы на устройствах.” соответствующий компьютер.”
В показаниях под присягой говорится, что ФБР использовало Perseus, чтобы заставить вредоносное ПО Snake самоудаляться на зараженных им компьютерах. ФБР заявляет, что, по его мнению, это действие навсегда отключило вредоносное ПО, контролируемое Россией, на зараженных машинах и нейтрализует возможность российского правительства получить доступ к вредоносному ПО Snake, которое в настоящее время установлено на зараженных компьютерах.
Федералы предупредили, что, если бы они не приняли меры по демонтажу вредоносной сети, российские хакеры могли бы узнать, «как ФБР и другие правительства смогли разрушить вредоносное ПО Snake и укрепить защиту Snake».
В то время как ФБР отключило вредоносное ПО Snake на скомпрометированных компьютерах, Министерство юстиции предупредило, что российские хакеры по-прежнему могут получить доступ к скомпрометированным устройствам, поскольку операция не обнаружила и не удалила никаких дополнительных вредоносных программ или хакерских инструментов, которые хакеры могли установить на жертву. сети. Федералы также предупредили, что Turla часто развертывала «кейлоггер» на устройствах жертв для кражи учетных данных для аутентификации, таких как имена пользователей и пароли, у законных пользователей.
Агентство кибербезопасности США CISA выпустило 48 страниц совместный консультант Чтобы помочь защитникам обнаруживать и удалять вредоносное ПО Snake в своих сетях.
Читать далее: