.
O FBI cortou uma rede de computadores controlados pelo Kremlin usados para espalhar o malware Snake que, de acordo com os federais, tem sido usado pelo FSB da Rússia para roubar documentos confidenciais de membros da OTAN por quase duas décadas.
Turla, o grupo ciberespião apoiado pelo FSB, usou versões do malware Snake para roubar dados de centenas de sistemas de computador pertencentes a governos, jornalistas e outros alvos de interesse em pelo menos 50 países, de acordo com o Departamento de Justiça dos EUA. Depois de identificar e roubar arquivos confidenciais nos dispositivos das vítimas, Turla os exfiltrou por meio de uma rede secreta de computadores involuntariamente comprometidos por Snake nos Estados Unidos.
Na verdade, o Snake pode infectar sistemas Windows, Linux e macOS e usar esses nós de rede para passar dados roubados das vítimas para os mestres espiões russos do software desagradável. A NSA publicou uma visão técnica do código aqui e aqui [PDF].
“Para ofuscar as comunicações entre os computadores comprometidos pelo Snake que compõem a rede Snake, a natureza dos dados roubados pelo FSB e a identidade do FSB como o invasor, as comunicações entre os implantes do Snake nos computadores comprometidos são criptografadas, fragmentadas e enviadas usando metodologias personalizadas construídas sobre protocolos de rede comuns”, de acordo com promotores dos EUA em documentos judiciais [PDF].
“Como resultado, as comunicações do Snake são difíceis de distinguir do tráfego de rede da vítima legítima, e as cargas de dados são impossíveis de descriptografar e interpretar sem um software especificamente projetado para processar os protocolos personalizados do implante”, continua o depoimento.
Como parte da chamada Operação Medusa, anunciada hoje, os federais obtiveram um mandado [PDF] para acessar remotamente oito computadores nos EUA que o Snake havia infectado e, em seguida, sobrescrever e encerrar o malware em execução nessas máquinas.
“Através de uma operação de alta tecnologia que virou o malware russo contra si mesmo, a aplicação da lei dos EUA neutralizou uma das ferramentas de ciberespionagem mais sofisticadas da Rússia, usada por duas décadas para promover os objetivos autoritários da Rússia”, disse a vice-procuradora-geral Lisa Monaco em um comunicado. declaração.
De acordo com os documentos do tribunal, o FBI estava monitorando a atividade do malware em computadores infectados nos Estados Unidos – com a permissão de seus proprietários, segundo nos disseram. Os agentes foram capazes de estudar o código e desenvolver uma técnica que imita o protocolo de autenticação de sessão de Snake para enganar outro computador na rede para que se comunique com ele.
O FBI decidiu chamar essa ferramenta de Perseus e, após estabelecer sessões de comunicação com o malware Snake em um dispositivo, emite comandos que fazem com que o implante malicioso se desabilite, substituindo os principais componentes do código, sem afetar o computador host ou qualquer aplicativo legítimo.
Como muitas das vítimas do malware estão localizadas fora dos Estados Unidos, o FBI diz que está se envolvendo com as autoridades locais para notificar as infecções por Snake e oferecer orientação de remediação.
A Operação Medusa é a mais recente de uma série de ações de alto nível neste mês que o Tio Sam e seus amigos realizaram nos últimos meses para interromper o cibercrime.
Ontem, o DOJ disse que apreendidos 13 domínios de internet vendendo ataques distribuídos de negação de serviço.
E no início deste mês, a polícia dos EUA e da Europa prendeu 288 pessoas que supostamente vendiam opioides no agora fechado mercado monopolista mercado de tráfico de drogas da dark web. ®
.
