Российский компьютерный вирус 20 лет воровал данные американского правительства: ФБР наконец-то его обезвредило

ФБР и Департамент юстиции США нейтрализовали вредоносный вирус, который ФСБ России использовала для кражи конфиденциальных документов из сотен компьютерных систем по меньшей мере в 50 странах.

Фото: IStock

Сложное вредоносное ПО под названием «Snake» поражало одноранговые сети компьютеров.

Благодаря операции ФБР MEDUSA совместно с несколькими иностранными правительствами данный кибершпионаж ФСБ был остановлен.

Подразделение внутри Центр 16 Федеральной службы безопасности Российской Федерации (ФСБ), именуемое в судебных документах как «Turla», в течение почти 20 лет использовало версии вредоносного ПО Snake. Turla воровало документы правительств стран-членов НАТО, журналистов и другие важные сведения, представляющие интерес для России. После кражи документов Turla перемещала их через тайную сеть скомпрометированных Snake компьютеров в Соединенных Штатах и по всему миру.

Операция MEDUSA помогла отключить вредоносное ПО Turla Snake на взломанных компьютерах с помощью созданного ФБР инструмента PERSEUS. PERSEUS выдавал команды, которые заставляли ПО Snake перезаписывать свои жизненно важные компоненты.

По теме: Иммигрант наладил бизнес по подделке документов на туристическую визу в США: он брал до $30 000 за услугу

В Соединенных Штатах операция была проведена ФБР в соответствии с ордером, который разрешал удаленный доступ к скомпрометированным компьютерам. Для помощи жертв за пределами Соединенных Штатов ФБР взаимодействует с местными властями, чтобы предоставить как информацию о заражение вирусом, так и рекомендации по его устранению.

20 лет кибершпионажа

Правительство США расследовало действия Snake и вредоносных программ, связанных со Snake, в течение почти 20 лет. Правительство США контролировало офицеров ФСБ, прикомандированных к Turla, проводящих повседневные операции с использованием Snake из известного учреждения ФСБ в Рязани, Россия.

«Решение проблемы кибершпионажа требует творческого подхода и готовности использовать все законные средства для защиты нашей страны и наших союзников», — сказал прокурор США Бреон Пис Восточного округа Нью-Йорка.

Несмотря на то, что Snake был предметом нескольких отчетов индустрии кибербезопасности на протяжении всего своего существования, Turla применила множество обновлений и изменений. Это должно было гарантировать, что Snake останется самым сложным долгосрочным вредоносным программным обеспечением Turla для кибершпионажа.

Если его не разрушить, имплантат Snake сохраняется в системе скомпрометированного компьютера на неопределенный срок, как правило, незамеченным владельцем компьютера или авторизованными пользователями. ФБР заметило, что Snake сохраняется на определенных компьютерах, несмотря на попытки жертвы все исправить.

Snake предоставляет своим операторам Turla возможность удаленно развертывать выбранные вредоносные инструменты, чтобы расширить функциональные возможности Snake для выявления и кражи конфиденциальной информации и документов, хранящихся на определенном компьютере.

Нравится статья? Поддержите ForumDaily!?

Что наиболее важно, скомпрометированные компьютеры действуют как скрытая одноранговая сеть, в которой используются специальные протоколы связи, предназначенные для затруднения обнаружения, мониторинга и сбора данных западными и другими службами радиотехнической разведки.

Что делал Snake

Turla использует сеть Snake для маршрутизации данных, украденных из целевых систем через многочисленные ретрансляционные узлы, разбросанные по всему миру, обратно операторам Turla в России. Например, ФБР отслеживало использование ФСБ сети Snake для извлечения данных из конфиденциальных компьютерных систем, в том числе управляемых правительствами стран-членов НАТО, путем маршрутизации передачи эти украденные данные через невольно скомпрометированные Snake компьютеры в Соединенных Штатах.

Как перехитрили вирус

На основе анализа вредоносного ПО Snake и сети Snake ФБР разработало возможность расшифровывать и декодировать сообщения Snake.

Используя информацию, полученную в результате мониторинга сети Snake и анализа вредоносных программ, ФБР разработало инструмент под названием PERSEUS. PERSEUS устанавливает сеансы связи с вредоносным имплантатом Snake на конкретном компьютере и выдает команды, которые заставляют имплантат Snake отключаться, не затрагивая хост-компьютер.

Сегодня, чтобы расширить возможности сетевых защитников по всему миру, ФБР вместе с международными специалистами выпустили рекомендации по кибербезопасности с подробной технической информацией о вредоносном ПО Snake. Рекомендации позволят специалистам по кибербезопасности обнаруживать и устранять заражения вредоносным ПО Snake в своих сетях.

ФБР и Государственный департамент США также предоставляют дополнительную информацию местным властям в странах, где были обнаружены компьютеры, ставшие мишенью вредоносного ПО Snake.

Опасность сохраняется

Несмотря на то, что операция MEDUSA отключила вредоносное ПО Snake на взломанных компьютерах, жертвы должны предпринять дополнительные шаги, чтобы защитить себя от дальнейшего вреда.

Операция по отключению Snake не устраняла какие-либо уязвимости, не искала и не удаляла какие-либо дополнительные вредоносные программы или хакерские инструменты, которые хакерские группы могли разместить у жертвы.

Более того, как отмечается в судебных документах, Turla часто развертывает «кейлоггер» со Snake, который Turla может использовать для кражи учетных данных для аутентификации учетной записи, таких как имена пользователей и пароли, у законных пользователей. Жертвы должны знать, что Turla может использовать эти украденные учетные данные для повторного доступа к скомпрометированным компьютерам и другим учетным записям.

Вам может быть интересно: главные новости Нью-Йорка, истории наших иммигрантов и полезные советы о жизни в Большом Яблоке – читайте все это на ForumDaily New York.

Эти усилия по обезвреживанию вируса не увенчались бы успехом без партнерства многочисленных организаций частного сектора, в том числе тех жертв, которые позволили ФБР отслеживать коммуникации Snake в своих системах.

Читайте также на ForumDaily:

‘Нам тут не нужна Компартия Китая’: ДеСантис запретил гражданам КНР покупать землю во Флориде

Джип врезался в толпу людей возле центра для иммигрантов в Техасе: свидетели утверждают, что это был намеренный наезд

В США отзывают полмиллиона тестов на COVID-19: они заражены бактериями

Хотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» —  и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram  и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.