Agências de inteligência e segurança cibernética dos países membros dos Five Eyes derrubaram a infraestrutura usada pelo malware de espionagem cibernética Snake, operado pelo Serviço Federal de Segurança da Rússia (FSB).
O desenvolvimento do malware Snake começou sob o nome "Uroburos" no final de 2003, enquanto as primeiras versões do implante foram aparentemente finalizadas no início de 2004, com hackers do estado russo implantando o malware em ataques imediatamente depois.
O malware está ligado a uma unidade dentro do Centro 16 do FSB, o notório grupo de hackers russo Turla, e foi interrompido após um esforço coordenado chamado Operação MEDUSA.
Entre os computadores capturados na botnet peer-to-peer do Snake, o FBI também encontrou dispositivos pertencentes a governos membros da NATO.
"O Departamento de Justiça, junto com nossos parceiros internacionais, desmantelou uma rede global de computadores infectados por malware que o governo russo usou por quase duas décadas para conduzir espionagem cibernética, inclusive contra nossos aliados da NATO", disse o procurador-geral Garland em um comunicado à imprensa emitido hoje.
Segundo documentos judiciais divulgados hoje (declaração juramentada e mandado de busca), o governo dos EUA acompanhou de perto o Snake e as ferramentas de malware relacionadas ao Snake por quase 20 anos, enquanto também monitorava os hackers russos Turla usando o Snake de uma instalação do FSB em Ryazan, na Rússia.
Descrito como "o implante de malware de ciberespionagem de longo prazo mais sofisticado do FSB", o Snake permitiu que seus operadores instalassem remotamente malware em dispositivos comprometidos, roubassem documentos e informações sensíveis (por exemplo, credenciais de autenticação), mantivessem a persistência e escondessem suas atividades maliciosas ao usar essa "rede peer-to-peer oculta".
As agências de segurança cibernética e inteligência dos Five Eyes também emitiram um aviso conjunto com detalhes para ajudar os defensores a detectar e remover o malware Snake em suas redes.
O FBI derrubou todos os dispositivos infectados nos Estados Unidos, enquanto, fora dos EUA, a agência "está se comunicando com as autoridades locais para fornecer tanto o aviso de infecções Snake dentro dos países dessas autoridades quanto orientações de remediação".
"Conforme descrito em documentos judiciais, por meio da análise do malware Snake e da rede Snake, o FBI desenvolveu a capacidade de descriptografar e decodificar as comunicações do Snake", disse o Departamento de Justiça dos EUA.
"Com informações obtidas ao monitorar a rede Snake e analisar o malware Snake, o FBI desenvolveu uma ferramenta, chamada PERSEUS, que estabelece sessões de comunicação com o implante de malware Snake em um determinado computador e emite comandos que fazem com que o implante Snake se desabilite sem afetar o computador hospedeiro ou aplicativos legítimos no computador".
Depois de descriptografar o tráfego de rede entre dispositivos da NATO e dos EUA comprometidos pelo malware Snake, o FBI também descobriu que operadores da Turla usaram o implante em tentativas de roubar o que pareciam ser documentos confidenciais das Nações Unidas e da NATO.
O mandado de busca obtido pelo FBI permitiu que a agência acessasse os dispositivos infectados, sobrescrevesse o malware sem afetar aplicativos e arquivos legítimos e terminasse o malware em execução nos computadores comprometidos.
O FBI está agora notificando todos os proprietários ou operadores de computadores acessados remotamente para remover o malware Snake e informando que eles podem ter que remover outras ferramentas maliciosas ou malware plantados pelos atacantes, incluindo keyloggers que a Turla frequentemente também implantava em sistemas infectados.
Até ser interrompida, a infraestrutura do malware Snake, que foi detectada em mais de 50 países, foi usada pelos hackers do FSB russo para coletar e roubar dados sensíveis de uma ampla gama de alvos, incluindo redes governamentais, organizações de pesquisa e jornalistas.
A Turla (também rastreada como Waterbug e Venomous Bear) tem orquestrado campanhas de espionagem cibernética visando governos, embaixadas e instalações de pesquisa em todo o mundo desde pelo menos 1996.
Eles são os suspeitos por trás de ataques direcionados ao Comando Central dos EUA, ao Pentágono e à NASA, vários Ministérios das Relações Exteriores do Leste Europeu, bem como o Ministério das Relações Exteriores finlandês.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...