Så slog FBI ut Putins favoritverktyg för att attackera kritiker på nätet

av | maj 21, 2023 | Säkerhet

red snake

Efter att ha tillbringat åratal med att övervaka, följa och kartlägga den skadliga programvara som skapats av en av Kremls mest avancerade hackergrupper så slog FBI till och ett enda slag så deaktiverade de programmet Snake och slog ut Putins favoritverktyg.

FBI skapade ett motvapen som slog ut programmet Snake, hela nätverket med hackare och gruppen Turla. I ett enda slag så slogs plattformsoberoende skadlig kod ut. Kod använts i mer än två decennier för spionage och sabotage. Snake har utvecklats och drivits av Turla, en av världens mest sofistikerade APT:er, en förkortning för Avancerade Persistent Threath, en term för långvariga hacking-grupper sponsrade av nationalstater – i det här fallet Ryssland.

Turla

Experter från flera säkerhetsföretag är till stora delar överens om att Turla låg bakom intrång i det amerikanska försvarsdepartementet 2008, och på senare tid det tyska utrikesdepartementet och Frankrikes militär. Gruppen har också varit känd för att släppa lös Linux-skadlig programvara och använda satellitbaserade internetlänkar för att upprätthålla sin verksamhet.

Ett av de mest kraftfulla verktygen i Turlas verktygslåda är Snake, en slags digital schweizisk armékniv som körs på Windows, macOS och Linux. Snake är skrivet i programmeringsspråket C och kan liknas vid en låda med Lego där varje bit är en modul med sina egna funktioner som är byggda ovanpå ett enormt peer-to-peer-nätverk som i hemlighet länkar en infekterad dator med en annan. Enligt FBI, har Snake hittills spridit sig till mer än 50 länder och infekterade datorer som tillhör NATOs medlemsregeringar, en amerikansk journalist som har bevakat Ryssland och sektorer som involverar kritisk infrastruktur, kommunikation och utbildning.

CNBC

2003

Ursprunget till Snake går tillbaka till åtminstone 2003, med skapandet av en föregångare till Snake som fick namnet “Uroburos”, en variant av ouroboros, som är en gammal symbol som visar en orm eller drake som äter sin egen svans. FBI betecknar Snake som en av de mest avancerade och mest sofistikerade exemplen av malware men det är kanske också exakt det som en federal polisorganisation förväntas att säga efter att just ha lojast att plocka ned hela ekosystemet runt Snake. Oberoende experter däremot menar också att Turla och Snake var ett högst påtagligt hot, stöttad av Putins Ryssland och gruppen har som redan sagts varit aktiv länge, sedan tidigt 2000-tal.

Det FBI gjorde var att vända Snake mot sig själv. FBI skapade kod som helt enkelt slog ut Snake genom att deaktivera Snake och slå av programmet och hela dess nätverk.

The FBI has developed the capability, using PERSEUS, to impersonate Snake’s Turla operators and issue commands to Snake malware that will effectively, and permanently, disable it. Using authentication codes that the FBI has obtained for the Snake implants on the Subject Computers, the FBI can use PERSEUS to complete the full Snake authentication and session establishment protocols, and send commands to the Subject Computers that the Snake malware on the Subject Computers will interpret as legitimate and execute.

Specifically, the FBI has developed a technique that exploits some of Snake’s built-in commands, discussed above, which, when transmitted by PERSEUS from an FBI-controlled computer to the Snake malware on the Subject Computers, will terminate the Snake application and, in addition, permanently disable the Snake malware by overwriting vital components of the Snake implant without affecting any legitimate applications or files on the Subject Computers.

The FBI has extensively tested this technique and has confirmed both that it is effective at disabling the Snake malware, and that the computer hosting the Snake malware is not adversely affected by this technique. Indeed, in testing, the FBI has confirmed that a computer infected by Snake and remediated through PERSEUS, will continue to function as normal. Notably, the commands transmitted by PERSEUS are sent using the custom communications protocols and encryption developed by Turla for the Snake malware, and thus can be interpreted and executed only by Snake implants. Thus, a computer that is not compromised by Snake could not understand PERSEUS’s commands, and would disregard them.

Ur FBIs dokument som lämnats in till domstol.

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: