Министерство юстиции США заявило, что оно нарушило работу одного из самых сложных кибершпионских инструментов

Министерство юстиции США заявило, что оно нарушило работу одного из самых сложных кибершпионских инструментов

Они создали специальный инструмент PERSEUS для отключения инфраструктуры вируса Snake.

image

США утверждают, что им удалось обезвредить зловредное ПО, которое использовалоcь спецслужбами в течение последних 20 лет для захвата компьютеров и кражи конфиденциальных данных.

Министерство юстиции США объявило сегодня, что оно нарушило работу так называемого вируса Snake, получив судебный приказ, который позволил им, по сути, взломать компьютеры, уже зараженные вредоносным кодом.

“С помощью высокотехнологичной операции, которая обратила вирус против него самого, американские правоохранительные органы нейтрализовали один из самых сложных кибершпионских инструментов”, - заявила заместитель генерального прокурора США Лиза Монако.

США утверждают, что киберподразделение Turla впервые разработало вирус Snake в 2003 году для проведения кибершпионских операций по всему миру. На протяжении многих лет спецсужбы регулярно модернизировали вирус, который следователи обвиняют в проникновении в американские компании, научные учреждения и правительства, включая НАТО.

Сообщение гласит: В течение примерно двух десятилетий этот отдел, упомянутый в судебных документах как Turla, применял варианты вредоносного ПО Snake для похищения секретных документов с сотен компьютерных систем, расположенных по крайней мере в 50 странах. Эти системы принадлежали правительствам-членам НАТО, журналистам и другим целям.

Вирус Snake обычно трудно обнаружить и он может сохраняться на компьютере, несмотря на попытки удалить его. “Мы наблюдали совместимые имплантаты вируса Snake для операционных систем Windows, macOS и Linux”, - говорят американские кибервласти.

В докладе утверждается, что командные центры по управлению вирусом расположены в городе Рязани и Москве. В то же время федеральные следователи обнаружили вирус Snake в более чем 50 странах, включая США.

Для того, чтобы уничтожить вирус, США заметили, что вирус Snake работает по одноранговой сети с собственными специальными протоколами связи для поддержания секретности. ФБР проанализировало одноранговую сеть и нашло способ расшифровать и декодировать коммуникации, что позволило им обезвредить вирус.

Минюст объяснил, что ФБР создало средство "Персей" для борьбы с Snake, вдохновившись древнегреческой мифологией, где именно этот герой уничтожил Медузу Горгону. По командам Персея вирус отключается на зараженном компьютере.

Несмотря на обезвреживание вируса, США предупреждают жертвы, что они все еще должны защитить свою систему от потенциального шпионажа. “Операция по отключению вируса Snake не устранила уязвимости или не искала или не удаляла какое-либо дополнительное зловредное ПО или хакерские инструменты, которые хакерские группы могли разместить в сетях жертв”, - говорится в заявлении Министерства юстиции.

Например, во многих случаях заражение вирусом Snake также может включать кейлоггер, который был тайно установлен на компьютер для кражи паролей. Для защиты минюст выпустил рекомендацию для ИТ-менеджмента пострадавших компаний, которая рассказывает о вирусе Snake и о том как обезвредить его.

Группировка Turla известна своими сложными и продолжительными кампаниями кибершпионажа против различных целей по всему миру. Ранее сообщалось, что Turla использует новое вредоносное ПО для перехвата TLS-трафика , а также обновляет свои бэкдоры HyperStack, Kazuar и Carbon. Для распространения новых модулей преступники используют легитимные установщики ПО, зараженные дроппером “Topinambour”.

В 2022 году исследователи кибербезопасности Mandiant обнаружили, что группировка Turla Team использует инфраструктуру вредоносной программы Andromeda десятилетней давности для распространения своих шпионских инструментов среди целей в Украине. По словам аналитиков, APT-группа Turla Team (также известная как UNC4210) взяла под свой контроль 3 домена, которые были частью ныне несуществующей инфраструктуры управления и контроля (C&C) сети ботнетов Andromeda (Gamarue), чтобы повторно подключиться к скомпрометированным системам. Конечная цель заключалась в распространении среди жертв Andromeda разведывательной утилиты KOPILUWAK и бэкдора QUIETCANARY (Tunnus).

В 2019 году Лаборатория Касперского сообщила о новой кампании Turla , направленной на дипломатические учреждения и военные организации в Восточной Европе. В ходе этой кампании хакеры использовали новый бэкдор LightNeuron, который маскировался под плагин Microsoft Exchange Server и позволял злоумышленникам перехватывать, блокировать или изменять электронную почту на зараженном сервере.

В 2018 году ESET обнаружил, что Turla использует эпидемический вирус Epic Turla (также известный как Wipbot или Tavdig) для доставки своего основного шпионского инструмента Mosquito на целевые системы. Epic Turla был активен с 2012 по 2017 год и заражал компьютеры через фальшивые Adobe Flash Player или Microsoft Silverlight обновления.

В 2017 году Symantec сообщил, что Turla использует социальную сеть Instagram для передачи команд своему бэкдору KopiLuwak. Хакеры создали фальшивый аккаунт на Instagram и размещали комментарии с зашифрованными командами для своего вредоносного ПО.

В 2016 году ESET сообщил, что Turla использует спутниковое интернет-соединение для скрытия своих C&C-серверов от любопытных глаз. Для этого хакеры использовали специальное ПО, которое позволяло им перехватывать трафик от спутниковой антенны и отправлять команды на свои C&C-серверы через общедоступные спутниковые каналы.

В 2015 году Лаборатория Касперского сообщила о новом инструменте Turla под названием Pacifier , который представлял собой комплекс вредоносных программ для сбора разведданных. Pacifier использовал фишинговые письма с вложениями Microsoft Word или Excel, содержащими макросы для загрузки и запуска бэкдора. Бэкдор позволял злоумышленникам собирать информацию о системе, делать скриншоты, перехватывать нажатия клавиш и копировать файлы.

В 2014 году Лаборатория Касперского сообщила о новой кампании Turla , направленной на правительственные и дипломатические учреждения в разных странах. В ходе этой кампании хакеры использовали вредоносное ПО под названием Uroburos (также известное как Snake или Agent.BTZ), которое было обнаружено в 2008 году на компьютерах Министерства обороны США. Uroburos было сложным и модульным шпионским инструментом, который мог работать как в онлайн, так и в оффлайн режиме, а также заражать другие компьютеры в локальной сети.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!