چگونه ایالات متحده یک شبکه بدافزاری را که توسط جاسوسان روسی برای سرقت اسرار دولتی استفاده می شد، از بین برد

FBI نزدیک به دو دهه این بدافزار جاسوسی سایبری را ردیابی کرد

دولت آمریکا گفت که یک کمپین جاسوسی سایبری طولانی مدت روسیه را مختل کرده است که اطلاعات حساس را از دولت های ایالات متحده و ناتو به سرقت می برد، عملیاتی که تقریباً 20 سال طول کشید.

وزارت دادگستری روز سه شنبه اعلام کرد که یک عملیات FBI با موفقیت شبکه بدافزار “Snake” مورد استفاده توسط Turla، یک گروه هکر بدنام که مدت ها به سرویس امنیت فدرال روسیه (FSB) وابسته بود، از بین برد. تورلا قبلاً با حمله سایبری به فرماندهی مرکزی ایالات متحده، ناسا و پنتاگون مرتبط بود.

مقامات ایالات متحده Snake را به عنوان “پیچیده ترین ابزار جاسوسی سایبری در زرادخانه FSB” توصیف می کنند.

وزارت دادگستری و شرکای جهانی آن بدافزار Snake را در صدها سیستم کامپیوتری در حداقل 50 کشور شناسایی کردند. دادستان ها گفتند که جاسوسان روسی در پشت گروه تورلا از این بدافزار برای هدف قرار دادن کشورهای عضو ناتو – و دیگر اهداف دولت روسیه – در سال 2004 استفاده کردند.

در ایالات متحده، FSB از شبکه گسترده رایانه‌های آلوده به مار برای هدف قرار دادن صنایع از جمله آموزش، مشاغل کوچک و سازمان‌های رسانه‌ای، همراه با بخش‌های زیرساختی حیاتی از جمله تأسیسات دولتی، خدمات مالی، تولید و ارتباطات استفاده کرد. اف‌بی‌آی گفت اطلاعاتی به دست آورده است که نشان می‌دهد تورلا همچنین از بدافزار Snake برای هدف قرار دادن رایانه شخصی یک روزنامه‌نگار در یک شرکت رسانه‌ای خبری آمریکایی که نامش فاش نشده است، استفاده کرده است که درباره دولت روسیه گزارش داده است.

دادستان ها اضافه کردند که Snake علیرغم تلاش های قربانی برای خنثی کردن عفونت، “به طور نامحدود” روی سیستم کامپیوتری آسیب دیده ادامه می دهد.

وزارت دادگستری گفت که پس از سرقت اسناد حساس، تورلا این اطلاعات را از طریق یک شبکه همتا به همتای مخفی از رایانه‌های در معرض خطر مار در ایالات متحده و سایر کشورها استخراج کرده است، که تشخیص حضور شبکه را سخت‌تر می‌کند.

از بروکلین تا مسکو

طبق سوگند نامه FBI، مقامات ایالات متحده به همراه هکرهای Turla که Snake را از تاسیسات FSB در مسکو و شهر ریازان در نزدیکی آن اداره می کردند، چندین سال گسترش بدافزار را زیر نظر داشتند.

اف‌بی‌آی گفت ابزاری به نام «پرسئوس» – قهرمان یونانی که هیولاها را می‌کشت – ساخته است که به مأمورانش اجازه می‌دهد ترافیک شبکه‌ای را که بدافزار Snake سعی کرده بود آنها را مخفی کند، شناسایی کنند.

بین سال‌های 2016 تا 2022، مقامات FBI آدرس‌های IP هشت رایانه در معرض خطر را در ایالات متحده شناسایی کردند که در کالیفرنیا، جورجیا، کانکتیکات، نیویورک، اورگان، کارولینای جنوبی و مریلند قرار داشتند. (اف‌بی‌آی همچنین به مقامات محلی هشدار داده است تا عفونت‌های مارها را در دستگاه‌های در معرض خطر واقع در خارج از ایالات متحده از بین ببرند.)

با رضایت قربانی، اف‌بی‌آی به برخی از ماشین‌های آسیب‌دیده از راه دور دسترسی پیدا کرد و هر کدام را «سال‌ها در یک زمان» تحت نظر داشت. این به FBI اجازه داد تا قربانیان دیگر در شبکه Snake را شناسایی کند و توانایی هایی را برای جعل هویت اپراتورهای Turla و صدور دستورات به بدافزار Snake به گونه ای ایجاد کند که گویی ماموران FBI هکرهای روسی هستند.

سپس در این هفته، پس از دریافت حکم بازرسی از یک قاضی فدرال در بروکلین، نیویورک، به FBI چراغ سبز داده شد تا به طور انبوه دستور تعطیلی شبکه را صادر کند.

FBI از ابزار Perseus خود برای تقلید از دستورات داخلی Snake استفاده کرد، که وقتی توسط Perseus از رایانه FBI منتقل می شود، “برنامه Snake را خاتمه می دهد و علاوه بر این، بدافزار Snake را برای همیشه با رونویسی اجزای حیاتی ایمپلنت Snake بدون تأثیرگذاری غیرفعال می کند. هر برنامه یا فایل قانونی روی رایانه های موضوعی.»

در این سوگندنامه آمده است که FBI از Perseus برای فریب بدافزار Snake استفاده کرده تا خودش را در همان رایانه هایی که آلوده کرده بود حذف کند. اف‌بی‌آی می‌گوید بر این باور است که این اقدام بدافزار تحت کنترل روسیه را برای همیشه در دستگاه‌های آلوده غیرفعال کرده است و توانایی دولت روسیه را برای دسترسی بیشتر به بدافزار Snake که در حال حاضر بر روی رایانه‌های آسیب‌دیده نصب شده است، خنثی می‌کند.

فدرال رزرو هشدار داد که اگر در زمان انجام این کار اقدامی برای از بین بردن شبکه بدافزار انجام نمی داد، هکرهای روسی می توانستند یاد بگیرند که “اف بی آی و سایر دولت ها چگونه توانستند بدافزار Snake را غیرفعال کنند و دفاع Snake را سخت تر کنند.”

در حالی که FBI بدافزار Snake را در رایانه‌های در معرض خطر غیرفعال کرده است، وزارت دادگستری هشدار داد که هکرهای روسی همچنان می‌توانند به ماشین‌های آسیب‌دیده دسترسی داشته باشند، زیرا این عملیات هیچ بدافزار اضافی یا ابزار هک دیگری را که هکرها بر روی قربانی قرار داده‌اند جستجو یا حذف نکرده است. شبکه های. فدرال رزرو همچنین هشدار داد که Turla به طور مکرر یک “کی لاگر” را بر روی ماشین های قربانیان مستقر می کند تا اعتبار احراز هویت حساب، مانند نام کاربری و رمز عبور، را از کاربران قانونی سرقت کند.

آژانس امنیت سایبری ایالات متحده CISA یک توصیه مشترک 48 صفحه ای برای کمک به مدافعان برای شناسایی و حذف بدافزار Snake در شبکه های خود راه اندازی کرد.

بیشتر بخوانید: