FBI aniquilou o malware de roubo de dados Snake russo com um comando de autodestruição
10 de Maio de 2023

Agências de inteligência e segurança cibernética dos países membros dos Five Eyes derrubaram a infraestrutura usada pelo malware de espionagem cibernética Snake, operado pelo Serviço Federal de Segurança da Rússia (FSB).

O desenvolvimento do malware Snake começou sob o nome "Uroburos" no final de 2003, enquanto as primeiras versões do implante foram aparentemente finalizadas no início de 2004, com hackers do estado russo implantando o malware em ataques imediatamente depois.

O malware está ligado a uma unidade dentro do Centro 16 do FSB, o notório grupo de hackers russo Turla, e foi interrompido após um esforço coordenado chamado Operação MEDUSA.

Entre os computadores capturados na botnet peer-to-peer do Snake, o FBI também encontrou dispositivos pertencentes a governos membros da NATO.

"O Departamento de Justiça, junto com nossos parceiros internacionais, desmantelou uma rede global de computadores infectados por malware que o governo russo usou por quase duas décadas para conduzir espionagem cibernética, inclusive contra nossos aliados da NATO", disse o procurador-geral Garland em um comunicado à imprensa emitido hoje.

Segundo documentos judiciais divulgados hoje (declaração juramentada e mandado de busca), o governo dos EUA acompanhou de perto o Snake e as ferramentas de malware relacionadas ao Snake por quase 20 anos, enquanto também monitorava os hackers russos Turla usando o Snake de uma instalação do FSB em Ryazan, na Rússia.

Descrito como "o implante de malware de ciberespionagem de longo prazo mais sofisticado do FSB", o Snake permitiu que seus operadores instalassem remotamente malware em dispositivos comprometidos, roubassem documentos e informações sensíveis (por exemplo, credenciais de autenticação), mantivessem a persistência e escondessem suas atividades maliciosas ao usar essa "rede peer-to-peer oculta".

As agências de segurança cibernética e inteligência dos Five Eyes também emitiram um aviso conjunto com detalhes para ajudar os defensores a detectar e remover o malware Snake em suas redes.

O FBI derrubou todos os dispositivos infectados nos Estados Unidos, enquanto, fora dos EUA, a agência "está se comunicando com as autoridades locais para fornecer tanto o aviso de infecções Snake dentro dos países dessas autoridades quanto orientações de remediação".

"Conforme descrito em documentos judiciais, por meio da análise do malware Snake e da rede Snake, o FBI desenvolveu a capacidade de descriptografar e decodificar as comunicações do Snake", disse o Departamento de Justiça dos EUA.

"Com informações obtidas ao monitorar a rede Snake e analisar o malware Snake, o FBI desenvolveu uma ferramenta, chamada PERSEUS, que estabelece sessões de comunicação com o implante de malware Snake em um determinado computador e emite comandos que fazem com que o implante Snake se desabilite sem afetar o computador hospedeiro ou aplicativos legítimos no computador".

Depois de descriptografar o tráfego de rede entre dispositivos da NATO e dos EUA comprometidos pelo malware Snake, o FBI também descobriu que operadores da Turla usaram o implante em tentativas de roubar o que pareciam ser documentos confidenciais das Nações Unidas e da NATO.

O mandado de busca obtido pelo FBI permitiu que a agência acessasse os dispositivos infectados, sobrescrevesse o malware sem afetar aplicativos e arquivos legítimos e terminasse o malware em execução nos computadores comprometidos.

O FBI está agora notificando todos os proprietários ou operadores de computadores acessados remotamente para remover o malware Snake e informando que eles podem ter que remover outras ferramentas maliciosas ou malware plantados pelos atacantes, incluindo keyloggers que a Turla frequentemente também implantava em sistemas infectados.

Até ser interrompida, a infraestrutura do malware Snake, que foi detectada em mais de 50 países, foi usada pelos hackers do FSB russo para coletar e roubar dados sensíveis de uma ampla gama de alvos, incluindo redes governamentais, organizações de pesquisa e jornalistas.

A Turla (também rastreada como Waterbug e Venomous Bear) tem orquestrado campanhas de espionagem cibernética visando governos, embaixadas e instalações de pesquisa em todo o mundo desde pelo menos 1996.

Eles são os suspeitos por trás de ataques direcionados ao Comando Central dos EUA, ao Pentágono e à NASA, vários Ministérios das Relações Exteriores do Leste Europeu, bem como o Ministério das Relações Exteriores finlandês.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...