Страны-участницы альянса Five Eyes (который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании) сообщили, что им удалось уничтожить инфраструктуру, используемую кибершпионской малварью Snake.
Сообщается, что разработка Snake началась еще в 2003 году (тогда под названием Uroburos), а первые версии вредоноса были готовы в начале 2004 года, после чего «правительственные хакеры» стали применять вредоносное ПО в атаках. С тех пор вредонос Snake, обнаруженный более чем в 50 странах, использовался для сбора и кражи конфиденциальных данных у широкого круга целей, включая правительственные сети, исследовательские организации и журналистов.
Правоохранители рассказывают, что уничтожили инфраструктуру малвари, которую связывают с русскоязычной группировкой Turla, в рамках операции Medusa. Подчеркивается, что среди компьютеров, захваченных P2P-ботнетом Snake, ФБР обнаружило устройства, принадлежащие правительствам стран-членов НАТО.
«Министерство юстиции США, совместно с международными партнерами, ликвидировало глобальную сеть зараженных вредоносным ПО компьютеров, которые использовались для кибершпионажа в течение почти двух десятилетий, в том числе против наших союзников по НАТО», — гласит официальный пресс-релиз.
Согласно обнародованным судебным документам, власти США почти 20 лет пристально следили за активностью Snake и связанными с малварью вредоносными инструментами, а также отслеживали Turla, чьи командные центры находились в Рязани и Москве.
В отчете Snake описывается как «изощренный многолетний имплантат для кибершпионажа», который позволяет своим операторам удаленно устанавливать вредоносное ПО на скомпрометированные устройства, похищать конфиденциальные документы и информацию (например, учетные данные для аутентификации), сохранять присутствие в системе и скрывать свои действия при помощи peer-to-peer сети.
Сообщается, что теперь ФБР очистило все зараженные устройства на территории США, а за пределами США правоохранители «взаимодействуют с местными властями, чтобы уведомить их о заражении Snake и предоставить рекомендации по устранению последствий».
«Как указано в судебных документах, в результате анализа вредоносной программы Snake и сети Snake, ФБР обнаружило возможность расшифровки и декодирования сообщений Snake, — сообщают в Министерстве юстиции США. — Используя информацию, полученную в результате мониторинга сети Snake и анализа вредоносного ПО, ФБР разработало инструмент под названием Perseus, который устанавливает сеансы связи с имплантом вредоносного ПО на определенном компьютере и выдает команды, заставляющие имплант Snake отключиться, не затрагивая при этом сам компьютер и легитимные приложения на нем».
После расшифровки сетевого трафика между устройствами в США и странах НАТО, скомпрометированными Snake, ФБР также обнаружило, что операторы Turla использовали малварь для попыток похитить документы, «похожие на конфиденциальные документы ООН и НАТО».
Сообщается, что ордер, полученный ФБР, позволил правоохранителям получить доступ к зараженным устройствам, перезаписать вредоносное ПО, не затрагивая легитимные приложения и файлы, и завершить работу малварь, запущенной на скомпрометированных компьютерах.
В настоящее время ФБР уведомляет всех владельцев и операторов устройств, к которым был получен удаленный доступ для удаления Snake, и сообщает, что, возможно, им придется удалить другие вредоносные инструменты и программы, установленные злоумышленниками (включая кейлоггеры, которые Turla часто внедряла в зараженные системы).
