.
Getty Images
Autoridades do FBI lançaram uma grande bomba na terça-feira: depois de passar anos monitorando um malware excepcionalmente furtivo que uma das unidades de hackers mais avançadas do Kremlin havia instalado em centenas de computadores em todo o mundo, os agentes descarregaram uma carga útil que fez com que o malware se desativasse.
O contra-ataque mirou no Snake, o nome de um malware multiplataforma que está em expansão há mais de duas décadas em uso para espionagem e sabotagem. O Snake é desenvolvido e operado pela Turla, uma das APTs mais sofisticadas do mundo, abreviação de ameaças persistentes avançadas, um termo para equipamentos de hackers de longa data patrocinados por estados-nação.
Piadas internas, provocações e dragões míticos
Se o hacking patrocinado por uma nação fosse o beisebol, o Turla não seria apenas um time da Liga Principal – seria um eterno candidato aos playoffs. Pesquisadores de várias empresas de segurança concordam amplamente que Turla estava por trás das violações do Departamento de Defesa dos EUA em 2008 e, mais recentemente, do Ministério das Relações Exteriores da Alemanha e das forças armadas da França. O grupo também é conhecido por liberar malware furtivo para Linux e usar links de Internet baseados em satélite para manter a discrição de suas operações.
Uma das ferramentas mais poderosas do arsenal de Turla é o Snake, uma espécie de canivete suíço digital que roda em Windows, macOS e Linux. Escrito na linguagem de programação C, o Snake vem como uma série altamente modular de peças que são construídas em cima de uma enorme rede ponto a ponto que liga secretamente um computador infectado a outro. Snake, disse o FBI, já se espalhou para mais de 50 países e infectou computadores pertencentes a governos membros da OTAN, um jornalista americano que cobriu a Rússia e setores envolvendo infraestrutura crítica, comunicações e educação.
Uma pequena lista de recursos do Snake inclui um backdoor que permite que Turla instale ou desinstale malware em computadores infectados, envie comandos e exfiltre dados de interesse para o Kremlin. Um software projetado profissionalmente, o Snake usa várias camadas de criptografia personalizada para criptografar comandos e dados filtrados. Pela rede P2P, os comandos e dados criptografados trafegam por uma cadeia de pontos de salto composta por outras máquinas infectadas de uma forma que dificulta a detecção ou o rastreamento da atividade.
As origens de Snake datam de pelo menos 2003, com a criação de um precursor chamado “Uroburos”, uma variação de ouroboros, que é um símbolo antigo que representa uma serpente ou dragão comendo sua própria cauda. Uma imagem de baixa resolução do filósofo e teólogo alemão Jakob Böhme, que aparece abaixo, em um ponto serviu como a chave para um backdoor redundante que Turla instalaria em alguns endpoints hackeados.
O nome Uroburos sobreviveu nas primeiras versões do malware, mesmo depois de ter sido renomeado para Snake – por exemplo, na string “Ur0bUr()sGoTyOu#”. Em 2014, a string foi substituída por “gLASs D1cK”. Outras strings aludem a piadas internas, interesses pessoais dos desenvolvedores e provocações dirigidas a pesquisadores de segurança que analisam ou contestam seu código.
.
