Malvér z ruskej dielne: FBI zneškodnilo pokročilý ruský kybernetický softvér

Začiatkom mája americké ministerstvo spravodlivosti oznámilo, že bol úspešne znefunkčnený pokročilý ruský malvér Snake. Škodlivý softvér z Ruska neoprávnene čerpal informácie z USA a krajín NATO viac ako dve desaťročia.

Zdroj: Pixabay

Spojené štáty americké zlikvidovali sofistikovaný kybernetický špionážny systém Snake (Had) z kybernetickej dielne Ruska na zavírených počítačoch v štáte New York. Podľa dostupných informácií z amerického ministerstva spravodlivosti ho ruská spravodajská služba využívala niekoľko rokov na špehovanie a získavanie dát z technológií po celom svete.

Malvér fungoval ako medzinárodná kompromitovaná sieť počítačov na princípe „peer-to-peer“ („rovný k rovnému“), inak známa aj pod akronymom P2P. Táto sieť so vzájomným sprístupňovaním funguje ako čistý prenos súborov, ktorý nemá ani klientov ani servery, iba rovnocenné sieťové uzly. Každý uzol v sieti pritom naraz plní úlohu servera a klienta pre ďalší uzol v sieti.

Americké ministerstvo spravodlivosti odhalilo, že kremeľskí špióni použili malvér na krádež duševného vlastníctva a citlivých informácií od obetí vo viac ako 50 krajinách sveta.

Operácia MEDUSA

Federálny vyšetrovací úrad (FBI) USA v spolupráci s viacerými zahraničnými vládami zneškodnili pokročilý ruský kybernetický softvér. Malvér bol pritom viac ako 20 rokov používaný na získavanie tajných materiálov z USA a krajín NATO.

Na spustenie legálneho odstránenia ruského škodlivého softvéru v USA použilo ministerstvo spravodlivosti na súde v New Yorku federálny zákon 41 trestného konania.

Novela tohto zákona umožňuje FBI alebo iným orgánom činným v trestnom konaní použiť akúkoľvek americkú technológiu na hacknutie technológií mimo americkej právomoci. Súčasťou zákona je aj paragraf, ktorý udeľuje príkaz na využitie prístupu k zavíreným pamäťovým technológiám na kontrolu a zaistenie ich dát.

Po udelení súdneho príkazu FBI následne zneškodnil malvér Snake na amerických zavírených zariadeniach počas tajnej operácie MEDUSA. Na americkú kompromitovanú sieť bol použitý kybernetický nástroj FBI s názvom PERSEUS. Jeho úlohou bolo vydávať programátorské príkazy, ktoré spôsobovali automatický prepis dát v škodlivom softvéri v USA.

„Prostredníctvom high-tech operácie USA obrátili ruský škodlivý softvér proti sebe samému a americké orgány činné v trestnom konaní neutralizovali malvér Snake v Amerike,“ uviedla vo vyhlásení tajomníčka generálneho prokurátora USA Lisa O. Monaco.

FBI zároveň pomáha aj svojim medzinárodným spojencom prostredníctvom spolupráce s ich miestnymi úradmi, ktorým asistuje s odstránením malvéru z ich kompromitovaných sietí. 

Portál Politico tiež zistil, že ruskí špióni nevyužívali malvér na organizovanie fyzických útokov. Malo ísť o vybudovanie kremeľskej špionážnej základne s prístupom k rozľahlej medzinárodnej sieti s utajovanými dátami.

Malvér Snake

Podľa Americkej agentúry pre kybernetickú a infraštruktúrnu bezpečnosť (CISA) patrí malvér Snake k najsofistikovanejším nástrojom kybernetickej špionáže v arzenáli Federálnej bezpečnostnej služby Ruska (FSB).

Pôsobenie tohto škodlivého softvéru je rozdelené do troch častí. V prvej najzákladnejšej časti využíva Snake technologické prvky na utajenie ruských hostiteľských technológií (počítače a pod.) a ruskej sieťovej komunikácie. Primárne teda ide o ochranu ruského zdroja malvéru.

V druhej časti vnútorná technická architektúra Snake umožňuje jednoduché začlenenie do nových (cudzích) technológií. To znamená, že konštrukcia uľahčuje vývoj a začlenenie malvéru do rôznych hostiteľských operačných systémov, akými sú napríklad Windows, Mac OS a Linux.

Napokon, v poslednej časti škodlivý softvér vykazuje komplexný návrh na vniknutie do hostiteľskej technológie. FSB v takom prípade nasadzuje Snakea na vonkajšie infraštruktúrne uzly v počítačovej sieti a TPP programátorský prístup na vnútorne uzly. Posledným krokom je získanie správcovského povolenia a prístupu k hostiteľskej doméne.

Denník The New York Times v súdnych dokumentoch objavil, že ruská hackerská jednotka Center 16 operovala tento malvér z FSB základne v ruskom meste Razaň. Jednotka, známa aj ako „Turla“, udržiavala prevádzku Snake, známu aj ako „Uroboros“, prostredníctvom nepretržitých aktualizácií.

Prvé verzie škodlivého softvéru pritom vznikali už na prelome rokov 2003 až 2004. Spočiatku jednotka Center 16 používala v programátorských reťazcoch kód „Ur0bUr()sGoTyOu#“ (Uroboros ťa dostal). Neskôr začali ruskí operatívci pridávať kódy s popismi vtipov, osobných záujmov a posmeškov namierených proti medzinárodným bezpečnostným analytikom.

Neustála revízia siete mala na svedomí šifrovanie útržkov dát, pričom ich prevádzala naspať kompromitovanou sieťou do Razane. Sústavná aktualizácia tak slúžila ako barikáda pre medzinárodné spravodajské služby v odhaľovaní a monitorovaní hackerských napadnutí Turly.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Vyštudovala bakalársky stupeň odboru Európske štúdiá na De Haagse Hogeschool v Holandsku. Absolvovala stáže na Honorárnom konzuláte Holandského kráľovstva v Prešove, Veľvyslanectve Slovenskej republiky v Prahe a v Kancelárii prezidenta Slovenskej republiky na Odbore medzinárodnej politiky. Zaujíma sa prevažne o politické a bezpečnostné dianie v EÚ, Rusku, Číne, o vplyv EÚ a NATO na medzinárodnú politiku, obranu a bezpečnosť.