VS legt door Rusland gehackte PC netwerk plat
Het ministerie van Justitie heeft de voltooiing aangekondigd van een door de rechtbank geautoriseerde operatie, met de codenaam MEDUSA, om een wereldwijd peer-to-peer-netwerk van computers te verstoren die zijn aangetast door geavanceerde malware, genaamd "Snake", die de Amerikaanse regering toeschrijft aan een eenheid binnen Centrum 16 van de Federale Veiligheidsdienst van de Russische Federatie (FSB).
Al bijna 20 jaar gebruikt deze eenheid, in gerechtelijke documenten aangeduid als "Turla", versies van de Snake-malware om gevoelige documenten te stelen van honderden computersystemen in ten minste 50 landen, die toebehoorden aan de Noord-Atlantische Verdragsorganisatie (NAVO). ) lidregeringen, journalisten en andere doelwitten die van belang zijn voor de Russische Federatie.
Operatie MEDUSA schakelde Turla's Snake-malware uit op gecompromitteerde computers door het gebruik van een door de FBI gemaakte tool genaamd PERSEUS, die opdrachten uitgaf die ervoor zorgden dat de Snake-malware zijn eigen vitale componenten overschreef. Binnen de Verenigde Staten werd de operatie uitgevoerd door de FBI op basis van een huiszoekingsbevel dat was uitgevaardigd door de Amerikaanse rechter-commissaris Cheryl L. Pollak voor het Eastern District van New York, die toegang op afstand tot de gecompromitteerde computers toestond. Vanmorgen heeft de rechtbank geredigeerde versies van de beëdigde verklaring die is ingediend ter ondersteuning van de aanvraag voor het huiszoekingsbevel en van het huiszoekingsbevel dat door de rechtbank is afgegeven, ontzegeld. Voor slachtoffers buiten de Verenigde Staten werkt de FBI samen met lokale autoriteiten om zowel Snake-infecties in de landen van die autoriteiten te melden als begeleiding te bieden.
"Het ministerie van Justitie heeft samen met onze internationale partners een wereldwijd netwerk van met malware geïnfecteerde computers ontmanteld die de Russische regering al bijna twee decennia gebruikt voor cyberspionage, ook tegen onze NAVO-bondgenoten", aldus procureur-generaal Merrick B. Guirlande. "We zullen onze collectieve verdediging blijven versterken tegen de destabiliserende pogingen van het Russische regime om de veiligheid van de Verenigde Staten en onze bondgenoten te ondermijnen."
"Via een hightech operatie die Russische malware tegen zichzelf heeft gekeerd, heeft de Amerikaanse wetshandhaving een van de meest geavanceerde cyberspionagetools van Rusland geneutraliseerd, die al twee decennia wordt gebruikt om de autoritaire doelstellingen van Rusland te bevorderen", aldus plaatsvervangend procureur-generaal Lisa O. Monaco. "Door deze actie te combineren met het vrijgeven van de informatie die slachtoffers nodig hebben om zichzelf te beschermen, blijft het ministerie van Justitie slachtoffers centraal stellen in ons cybercriminaliteitswerk en de strijd aangaan met kwaadwillende cyberactoren."
Snake malware
"Al 20 jaar vertrouwt de FSB op de Snake-malware om cyberspionage uit te voeren tegen de Verenigde Staten en onze bondgenoten - dat eindigt vandaag", zei assistent-procureur-generaal Matthew G. Olsen van de National Security Division van het ministerie van Justitie. "Het ministerie van Justitie zal elk wapen in ons arsenaal gebruiken om de kwaadwillende cyberactiviteiten van Rusland te bestrijden, inclusief het neutraliseren van malware door middel van hightech operaties, innovatief gebruik maken van juridische autoriteiten en samenwerken met internationale bondgenoten en partners uit de particuliere sector om onze collectieve impact te vergroten."
“Rusland gebruikte geavanceerde malware om gevoelige informatie van onze bondgenoten te stelen en witwassen via een netwerk van geïnfecteerde computers in de Verenigde Staten in een cynische poging om hun misdaden te verbergen. Het aangaan van de uitdaging van cyberspionage vereist creativiteit en de bereidheid om alle wettige middelen te gebruiken om onze natie en onze bondgenoten te beschermen”, aldus de Amerikaanse advocaat Breon Peace voor het oostelijke district van New York. "De door de rechtbank geautoriseerde zoektocht en herstel op afstand die vandaag is aangekondigd, toont de toewijding van mijn kantoor en onze partners aan om alle beschikbare middelen te gebruiken om het Amerikaanse volk te beschermen."
FBI
"De aankondiging van vandaag toont de bereidheid en het vermogen van de FBI aan om onze autoriteiten en technische capaciteiten te combineren met die van onze wereldwijde partners om kwaadwillende cyberactoren te verstoren", aldus adjunct-directeur Bryan Vorndran van de cyberdivisie van de FBI. “Als het gaat om het bestrijden van de pogingen van Rusland om de Verenigde Staten en onze bondgenoten aan te vallen met behulp van complexe cybertools, zullen we niet aarzelen in ons werk om die inspanningen te ontmantelen. Als het gaat om een natiestaat die betrokken is bij cyberinbraken die onze nationale veiligheid in gevaar brengen, zal de FBI alle beschikbare middelen gebruiken om kosten op te leggen aan die actoren en om het Amerikaanse volk te beschermen.
Zoals beschreven in gerechtelijke documenten, onderzoekt de Amerikaanse regering al bijna 20 jaar Snake en Snake-gerelateerde malwaretools. De Amerikaanse regering heeft toezicht gehouden op FSB-officieren die aan Turla zijn toegewezen en dagelijkse operaties uitvoeren met behulp van Snake vanuit een bekende FSB-faciliteit in Ryazan, Rusland.
Hoewel Snake gedurende zijn bestaan het onderwerp is geweest van verschillende rapporten over de cyberbeveiligingsindustrie, heeft Turla talloze upgrades en revisies toegepast en selectief ingezet, allemaal om ervoor te zorgen dat Snake Turla's meest geavanceerde malware-implantaat voor cyberspionage voor de lange termijn blijft. Tenzij het wordt verstoord, blijft het Snake-implantaat voor onbepaalde tijd op het systeem van een gecompromitteerde computer bestaan, meestal niet opgemerkt door de eigenaar van de machine of geautoriseerde gebruikers. De FBI heeft waargenomen dat Snake op bepaalde computers blijft bestaan, ondanks de pogingen van een slachtoffer om het compromis te herstellen.
Snake biedt zijn Turla-operators de mogelijkheid om op afstand geselecteerde malwaretools in te zetten om de functionaliteit van Snake uit te breiden om gevoelige informatie en documenten die op een bepaalde machine zijn opgeslagen, te identificeren en te stelen. Het belangrijkste is dat de wereldwijde verzameling van Snake-gecompromitteerde computers fungeert als een geheim peer-to-peer-netwerk, dat gebruikmaakt van op maat gemaakte communicatieprotocollen die zijn ontworpen om detectie, monitoring en verzamelingsinspanningen door westerse en andere inlichtingendiensten te belemmeren.
Turla gebruikt het Snake-netwerk om gegevens die zijn geëxfiltreerd van doelsystemen via talloze relaisknooppunten verspreid over de wereld terug te sturen naar Turla-operators in Rusland. Zo hebben de FBI, haar partners in de Amerikaanse inlichtingengemeenschap, samen met geallieerde buitenlandse regeringen, toezicht gehouden op het gebruik van het Snake-netwerk door de FSB om gegevens te exfiltreren uit gevoelige computersystemen, inclusief die van regeringen van NAVO-lidstaten, door de verzending van deze gestolen gegevens via onwetende Snake-gecompromitteerde computers in de Verenigde Staten.
Zoals beschreven in gerechtelijke documenten, heeft de FBI door analyse van de Snake-malware en het Snake-netwerk de mogelijkheid ontwikkeld om Snake-communicatie te decoderen en te decoderen. Met informatie die is verkregen uit het monitoren van het Snake-netwerk en het analyseren van Snake-malware, heeft de FBI een tool ontwikkeld met de naam PERSEUS, die communicatiesessies met het Snake-malware-implantaat op een bepaalde computer tot stand brengt en opdrachten geeft die ervoor zorgen dat het Snake-implantaat zichzelf uitschakelt zonder de hostcomputer te beïnvloeden. of legitieme toepassingen op de computer.
Om netwerkverdedigers wereldwijd sterker te maken, hebben de FBI, de National Security Agency, de Cybersecurity and Infrastructure Security Agency, de US Cyber Command Cyber National Mission Force en zes andere inlichtingen- en cyberbeveiligingsagentschappen van elk van de Five Eyes-lidstaten een gezamenlijk cyberbeveiligingsadvies (het gezamenlijk advies) met gedetailleerde technische informatie over de Snake-malware waarmee cyberbeveiligingsprofessionals Snake-malware-infecties op hun netwerken kunnen detecteren en verhelpen. De FBI en het Amerikaanse ministerie van Buitenlandse Zaken verstrekken ook aanvullende informatie aan lokale autoriteiten in landen waar computers zijn gevonden die het doelwit waren van de Snake-malware.
Keylogger
Hoewel Operatie MEDUSA de Snake-malware op gecompromitteerde computers heeft uitgeschakeld, moeten slachtoffers aanvullende maatregelen nemen om zichzelf te beschermen tegen verdere schade. De operatie om Snake uit te schakelen heeft geen kwetsbaarheden gepatcht of extra malware of hacktools gezocht of verwijderd die hackgroepen mogelijk op het slachtoffer hebben geplaatst. Het ministerie van Justitie moedigt netwerkverdedigers ten zeerste aan om het gezamenlijke advies te raadplegen voor meer advies over detectie en patching. Bovendien, zoals opgemerkt in gerechtelijke documenten, zet Turla regelmatig een "keylogger" in met Snake die Turla kan gebruiken om accountauthenticatiereferenties, zoals gebruikersnamen en wachtwoorden, van legitieme gebruikers te stelen. Slachtoffers moeten zich ervan bewust zijn dat Turla deze gestolen inloggegevens kan gebruiken om op frauduleuze wijze opnieuw toegang te krijgen tot gecompromitteerde computers en andere accounts.
De FBI heeft op grond van het huiszoekingsbevel alle eigenaars of operators van de computers die op afstand toegang hebben verkregen, op de hoogte gesteld van de door de rechtbank geautoriseerde operatie.
Assistent-advocaat van de VS, Ian C. Richardson voor het Eastern District van New York, vervolgt de zaak, met waardevolle hulp van de afdeling Contraspionage en Exportcontrole van de National Security Division.
De pogingen om het Snake-malwarenetwerk te verstoren werden geleid door het FBI New York Field Office, de Cyber Division van de FBI, het US Attorney's Office for the Eastern District of New York en de Counterintelligence and Export Control Section van de National Security Division. De sectie Computercriminaliteit en Intellectuele Eigendom van de Criminal Division bood waardevolle hulp. Die inspanningen zouden niet succesvol zijn geweest zonder de samenwerking van tal van entiteiten uit de particuliere sector, waaronder de slachtoffers die de FBI toestonden om Snake-communicatie op hun systemen te volgen.
CrowdStrike
Adam Meyers, hoofd van de inlichtingendienst, CrowdStrike on Operation MEDUSA besluit: “CrowdStrike schrijft het gebruik van Snake-malware toe aan VENOMOUS BEAR - een geraffineerde, in Rusland gevestigde tegenstander, die met grote zekerheid wordt beoordeeld als toe te schrijven aan de FSB. Er is vastgesteld dat Snake-operaties FSB's Center 16 ondersteunen - een onderafdeling van de FSB die verantwoordelijk is voor het onderscheppen, decoderen en verwerken van elektronische communicatie via cyberspionage. Tot op heden hebben Snake-operaties zich gericht op meer dan 50 landen, waaronder Noord- en Zuid-Amerika, Europa, Afrika, een deel van Azië en Australië. Operatie MEDUSA, en soortgelijke operaties, benadrukken het belang van publiek-private samenwerking en het delen van informatie over bedreigingsinformatie in de wereldwijde inspanning om geavanceerde cyber-vijandige groepen uit te schakelen.”