O Departamento de Justiça anunciou na terça-feira que uma operação do FBI desmantelou com sucesso a rede de malware “Snake” usada pelo Turla, um notório grupo de hackers há muito tempo afiliado ao Serviço Federal de Segurança da Rússia (FSB). Turla foi anteriormente vinculado a ataques cibernéticos direcionados ao Comando Central dos EUA, à NASA e ao Pentágono.
Funcionários dos EUA descrevem Snake como a “ferramenta de espionagem cibernética mais sofisticada do arsenal do FSB”.
O DOJ e seus parceiros globais identificaram o malware Snake em centenas de sistemas de computador em pelo menos 50 países. Os promotores disseram que os espiões russos por trás do grupo Turla usaram o malware para atingir os estados membros da OTAN – e outros alvos do governo russo – já em 2004.
Nos Estados Unidos, o FSB usou sua ampla rede de computadores infectados por Snake para atingir setores como educação, pequenas empresas e organizações de mídia, além de setores críticos de infraestrutura, incluindo instalações governamentais, serviços financeiros, manufatura e comunicações. O FBI disse ter obtido informações indicando que Turla também havia usado o malware Snake para atingir o computador pessoal de um jornalista de uma empresa de mídia não identificada dos EUA que havia feito reportagens sobre o governo russo.
Os promotores acrescentaram que Snake persiste no sistema de um computador comprometido “indefinidamente”, apesar dos esforços da vítima para neutralizar a infecção.
Depois de roubar documentos confidenciais, Turla exfiltrou essas informações por meio de uma rede secreta ponto a ponto de computadores comprometidos por Snake nos EUA e em outros países, disse o DOJ, tornando a presença da rede mais difícil de detectar.
Do Brooklyn a Moscou
De acordo com o depoimento do FBI , as autoridades americanas monitoraram a disseminação do malware por vários anos, junto com os hackers Turla que operavam o Snake nas instalações do FSB em Moscou e na cidade vizinha de Ryazan.
O FBI disse que desenvolveu uma ferramenta chamada “Perseus” – o herói grego que matava monstros – que permitia que seus agentes identificassem o tráfego de rede que o malware Snake tentou ofuscar.
Entre 2016 e 2022, funcionários do FBI identificaram os endereços IP de oito computadores comprometidos nos EUA, localizados na Califórnia, Geórgia, Connecticut, Nova York, Oregon, Carolina do Sul e Maryland. (O FBI disse que também alertou as autoridades locais para eliminar as infecções por Snake em máquinas comprometidas localizadas fora dos Estados Unidos.)
Com o consentimento da vítima, o FBI obteve acesso remoto a algumas das máquinas comprometidas e monitorou cada uma delas por “anos seguidos”. Isso permitiu ao FBI identificar outras vítimas na rede Snake e desenvolver recursos para representar os operadores Turla e emitir comandos para o malware Snake como se os agentes do FBI fossem os hackers russos.
Então, esta semana, depois de obter um mandado de busca de um juiz federal no Brooklyn, Nova York, o FBI recebeu luz verde para comandar em massa o fechamento da rede.
O FBI usou sua ferramenta Perseus para imitar os comandos internos de Snake, que quando transmitidos por Perseus de um computador do FBI, “encerrarão o aplicativo Snake e, além disso, desativarão permanentemente o malware Snake, sobrescrevendo componentes vitais do implante Snake sem afetar quaisquer aplicativos ou arquivos legítimos nos computadores em questão.”
O depoimento disse que o FBI usou o Perseus para enganar o malware Snake para se autoexcluir nos próprios computadores que infectou. O FBI diz acreditar que essa ação desabilitou permanentemente o malware controlado pela Rússia nas máquinas infectadas e neutralizará a capacidade do governo russo de acessar ainda mais o malware Snake atualmente instalado nos computadores comprometidos.
Os federais alertaram que, se não tivesse agido para desmantelar a rede de malware quando o fez, os hackers russos poderiam ter aprendido “como o FBI e outros governos foram capazes de desativar o malware Snake e fortalecer as defesas de Snake”.
Embora o FBI tenha desativado o malware Snake em computadores comprometidos, o DOJ alertou que os hackers russos ainda podem ter acesso às máquinas comprometidas, já que a operação não procurou ou removeu nenhum malware adicional ou ferramentas de hacking que os hackers possam ter colocado nas vítimas. redes. Os federais também alertaram que Turla freqüentemente implanta um “keylogger” nas máquinas das vítimas para roubar credenciais de autenticação de conta, como nomes de usuário e senhas, de usuários legítimos.
Fonte leia mais: https://techcrunch.com/2023/05/10/turla-snake-malware-network-russia-fsb/
