Альянс «Пять глаз» нейтрализовал российское шпионское ПО Snake

Новости

Представители разведывательного альянса «Пять глаз», в который входят Австралия, Канада, Новая Зеландия, Великобритания и США,объявили, что в ходе международной операции нейтрализовали Snake (англ. «Змея») — вредоносное ПО, разработанное российской ФСБ для шпионажа и хищения данных.

12 мая 2023 г.

Программу в 2003 году создал 16 Центр ФСБ, который курирует долгосрочные операции по сбору разведданных. За почти 20 лет ПО Snake внедрили в компьютерные системы как минимум в 50 странах. По данным Минюста США, многие из этих систем принадлежат государствам — членам НАТО.

Российское правительство давно занимается кибершпионажем.

В числе прочего Кремль стремится «подавлять определенную социальную и политическую деятельность, похищать интеллектуальную собственность и наносить ущерб региональным и международным противникам», как сказано в обзоре киберугроз со стороны России, который подготовило Агентство по кибербезопасности и защите инфраструктуры США (CISA).

В сотрудничестве с местными и международными партнерами CISA выпустило информационное сообщение, в котором сказано, что ПО Snake, предназначенное для сбора разведданных, считается самым сложным инструментом в арсенале 16 Центра.

Вредоносное ПО сменило несколько названий. Изначально оно называлось Uroburos. Уроборос — древний символ в виде змеи, кусающей собственный хвост.

Также 16 Центр использовал названия Ur0bUr()sGoTyOu# и gLASs D1cK.

Внедрившись в компьютеры по всему миру, ПО Snake объединило зараженные системы в сеть, дав ФСБ доступ к конфиденциальным материалам.

Похитив файлы, программа отправляла их в 16 Центр через ту же сеть.

Популярные операционные системы, такие как Windows, macOS и Linux, были уязвимы в равной степени.

«Россия использовала изощренное вредоносное ПО для хищения конфиденциальной информации у наших союзников. Она получала данные через сеть зараженных компьютеров в США, цинично пытаясь скрыть свои преступления», — сказал Бреон Пис, прокурор США по Восточному округу Нью-Йорка.

В прошлом вредоносное ПО использовали для атак в таких отраслях, как здравоохранение, оборона, объекты жизнеобеспечения, энергетика, связь, водоснабжение и финансы. По данным британской разведки, 16 Центр проводил кибероперации и против российских граждан. Мишенями становились диссиденты, представители оппозиции и журналисты.

Даже после того как цель была скомпрометирована, вредоносное ПО на всякий случай сохраняло подключение к сети, говорится в сообщении CISA.

За 20 лет устаревает любое программное обеспечение, но американские следователи отметили, что российская разведка выпустила множество обновлений и дополнений к Snake, чтобы программа оставалось самым надежным инструментом ФСБ для хищения данных.

Осознавая опасность, власти США, Канады, Великобритании, Австралии и Новой Зеландии объединились для борьбы с российским ПО.

Операция против Snake получила кодовое название Medusa. Медуза — мифическое существо с женским лицом и змеями вместо волос, ее взгляд обращал смотрящих на нее в камень.

В качестве ответной меры ФБР разработало собственное ПО под названием Perseus («Персей»), которое могло расшифровывать сообщения 16 Центра, отправляемые по сети Snake.

В греческой мифологии Персей — легендарный герой, который обезглавил Медузу.

ПО Perseus внедрилось в Snake и дало программе команду отключиться, не причинив дополнительного вреда компьютеру, как сообщили в Министерстве юстиции.

«Операция, о которой мы рассказали сегодня, успешно обезвредила главный инструмент кибершпионажа российского правительства, — сказал заместитель исполняющего обязанности директора ФБР Майкл Дрисколл. — Двадцать лет это вредоносное ПО позволяло российской разведке взламывать компьютерные системы и красть секретные данные, нанося ущерб не только правительству США и нашим союзникам, но и частным предприятиям».

«Пять глаз» успешно обезвредили Snake, но в Минюсте отметили, что Medusa не помогла исправить уязвимости или удалить другие хакерские инструменты, которые 16 Центр мог внедрить в компьютерные системы.

В CISA подчеркнули, что программа Snake обезврежена, но не ликвидирована.

По данным агентства, российской киберразведке много лет помогали несколько групп киберпреступников с «паучьими» никнеймами.

Спонсируемые государством хакеры Mummy Spider, Salty Spider, Scully Spider, Smokey Spider и Wizard Spider компрометировали информационные сети и похищали конфиденциальные данные.

Они помогли 16 Центру атаковать компьютерные системы по всей территории НАТО, проникли в правительственные сети, а также в сети финансовых и медицинских учреждений.

По данным CISA, они помогали России во время вторжения в Украину, используя DoS-атаки против украинских мишеней, нарушая работу их сетей и мешая их усилиям, направленным против агрессоров.