FBI نزدیک به دو دهه این بدافزار جاسوسی سایبری را ردیابی کرد
دولت آمریکا گفت که یک کمپین جاسوسی سایبری طولانی مدت روسیه را مختل کرده است که اطلاعات حساس را از دولت های ایالات متحده و ناتو به سرقت می برد، عملیاتی که تقریباً 20 سال طول کشید.
وزارت دادگستری روز سه شنبه اعلام کرد که یک عملیات FBI با موفقیت شبکه بدافزار “Snake” مورد استفاده توسط Turla، یک گروه هکر بدنام که مدت ها به سرویس امنیت فدرال روسیه (FSB) وابسته بود، از بین برد. تورلا قبلاً با حمله سایبری به فرماندهی مرکزی ایالات متحده، ناسا و پنتاگون مرتبط بود.
مقامات ایالات متحده Snake را به عنوان “پیچیده ترین ابزار جاسوسی سایبری در زرادخانه FSB” توصیف می کنند.
وزارت دادگستری و شرکای جهانی آن بدافزار Snake را در صدها سیستم کامپیوتری در حداقل 50 کشور شناسایی کردند. دادستان ها گفتند که جاسوسان روسی در پشت گروه تورلا از این بدافزار برای هدف قرار دادن کشورهای عضو ناتو – و دیگر اهداف دولت روسیه – در سال 2004 استفاده کردند.
در ایالات متحده، FSB از شبکه گسترده رایانههای آلوده به مار برای هدف قرار دادن صنایع از جمله آموزش، مشاغل کوچک و سازمانهای رسانهای، همراه با بخشهای زیرساختی حیاتی از جمله تأسیسات دولتی، خدمات مالی، تولید و ارتباطات استفاده کرد. افبیآی گفت اطلاعاتی به دست آورده است که نشان میدهد تورلا همچنین از بدافزار Snake برای هدف قرار دادن رایانه شخصی یک روزنامهنگار در یک شرکت رسانهای خبری آمریکایی که نامش فاش نشده است، استفاده کرده است که درباره دولت روسیه گزارش داده است.
دادستان ها اضافه کردند که Snake علیرغم تلاش های قربانی برای خنثی کردن عفونت، “به طور نامحدود” روی سیستم کامپیوتری آسیب دیده ادامه می دهد.
وزارت دادگستری گفت که پس از سرقت اسناد حساس، تورلا این اطلاعات را از طریق یک شبکه همتا به همتای مخفی از رایانههای در معرض خطر مار در ایالات متحده و سایر کشورها استخراج کرده است، که تشخیص حضور شبکه را سختتر میکند.
از بروکلین تا مسکو
طبق سوگند نامه FBI، مقامات ایالات متحده به همراه هکرهای Turla که Snake را از تاسیسات FSB در مسکو و شهر ریازان در نزدیکی آن اداره می کردند، چندین سال گسترش بدافزار را زیر نظر داشتند.
افبیآی گفت ابزاری به نام «پرسئوس» – قهرمان یونانی که هیولاها را میکشت – ساخته است که به مأمورانش اجازه میدهد ترافیک شبکهای را که بدافزار Snake سعی کرده بود آنها را مخفی کند، شناسایی کنند.
بین سالهای 2016 تا 2022، مقامات FBI آدرسهای IP هشت رایانه در معرض خطر را در ایالات متحده شناسایی کردند که در کالیفرنیا، جورجیا، کانکتیکات، نیویورک، اورگان، کارولینای جنوبی و مریلند قرار داشتند. (افبیآی همچنین به مقامات محلی هشدار داده است تا عفونتهای مارها را در دستگاههای در معرض خطر واقع در خارج از ایالات متحده از بین ببرند.)
با رضایت قربانی، افبیآی به برخی از ماشینهای آسیبدیده از راه دور دسترسی پیدا کرد و هر کدام را «سالها در یک زمان» تحت نظر داشت. این به FBI اجازه داد تا قربانیان دیگر در شبکه Snake را شناسایی کند و توانایی هایی را برای جعل هویت اپراتورهای Turla و صدور دستورات به بدافزار Snake به گونه ای ایجاد کند که گویی ماموران FBI هکرهای روسی هستند.
سپس در این هفته، پس از دریافت حکم بازرسی از یک قاضی فدرال در بروکلین، نیویورک، به FBI چراغ سبز داده شد تا به طور انبوه دستور تعطیلی شبکه را صادر کند.
FBI از ابزار Perseus خود برای تقلید از دستورات داخلی Snake استفاده کرد، که هنگامی که توسط Perseus از رایانه FBI منتقل می شود، “برنامه Snake را خاتمه می دهد و علاوه بر این، بدافزار Snake را برای همیشه با رونویسی اجزای حیاتی ایمپلنت Snake بدون تأثیرگذاری غیرفعال می کند. هر برنامه یا فایل قانونی روی رایانه های موضوعی.»
در این سوگندنامه آمده است که FBI از Perseus برای فریب بدافزار Snake استفاده کرده تا خودش را در همان رایانه هایی که آلوده کرده بود حذف کند. افبیآی میگوید که معتقد است این اقدام بدافزار تحت کنترل روسیه را برای همیشه در دستگاههای آلوده غیرفعال کرده است و توانایی دولت روسیه را برای دسترسی بیشتر به بدافزار Snake که در حال حاضر بر روی رایانههای در معرض خطر نصب شده است، خنثی میکند.
فدرال رزرو هشدار داد که اگر در زمان انجام این کار اقدامی برای از بین بردن شبکه بدافزار انجام نمی داد، هکرهای روسی می توانستند بفهمند “اف بی آی و سایر دولت ها چگونه توانستند بدافزار Snake را غیرفعال کنند و دفاع Snake را سخت تر کنند.”
در حالی که FBI بدافزار Snake را در رایانههای در معرض خطر غیرفعال کرده است، وزارت دادگستری هشدار داد که هکرهای روسی همچنان میتوانند به ماشینهای در معرض خطر دسترسی داشته باشند، زیرا این عملیات هیچ بدافزار اضافی یا ابزار هک دیگری را که ممکن است هکرها روی قربانی قرار داده باشند جستجو یا حذف نکرده است. شبکه های. فدرال رزرو همچنین هشدار داد که Turla به طور مکرر یک “کی لاگر” را بر روی ماشین های قربانیان مستقر می کند تا اعتبار احراز هویت حساب، مانند نام کاربری و رمز عبور، را از کاربران قانونی سرقت کند.
آژانس امنیت سایبری ایالات متحده CISA یک توصیه مشترک 48 صفحه ای برای کمک به مدافعان برای شناسایی و حذف بدافزار Snake در شبکه های خود راه اندازی کرد.
بیشتر بخوانید: