De FBI is erin geslaagd om een internationaal Russisch computernetwerk offline te halen. Via dit netwerk stalen Russische staatshackers bijna twintig jaar lang gevoelige en vertrouwelijke gegevens van honderden systemen in minstens vijftig landen. De getroffen landen zijn op de hoogte gebracht van de gebeurtenissen.
Dat meldt het Amerikaanse ministerie van Justitie in een statement (1).
Het gaat om een wereldwijd computernetwerk die besmet waren met de Russische malware ‘Snake’. Volgens het ministerie is de Russische veiligheidsdienst FSB verantwoordelijk voor de creatie van deze malware. Een eenheid van deze dienst, ook wel bekend als Turla, gebruikte verschillende versies van de Snake-malware om gevoelige documenten te stelen van honderden computers. Ten minste vijftig landen die lid zijn van de NAVO zijn hiervan het slachtoffer geworden, evenals journalisten en andere doelwitten die interessant zijn voor Rusland.
“Na het stelen van deze documenten exfiltreerde Turla ze via een heimelijk netwerk van door Snake aangetaste computers in de Verenigde Staten en de rest van de wereld”, zo schrijft het ministerie van Justitie. Dit netwerk maakte gebruik van aangepaste communicatieprotocollen om detectie en monitoring onmogelijk te maken. Zo was het voor beveiligingsonderzoekers onbegonnen werk om te achterhalen wie de bestanden had gestolen.
De FBI wist de Russische malware uit te schakelen met een tool die ze zelf had ontwikkeld: PERSEUS. Hiermee verstuurde de FBI opdrachten naar de Snake-malware, waardoor deze zichzelf vernietigde. Slachtoffers zijn op de hoogte gebracht van het voorval. Verder werkt de FBI samen met nationale opsporings- en handhavingsdiensten om uit te leggen hoe gedupeerden Snake-malware kunnen herkennen en zij hun systemen kunnen herstellen.
Dit alles gebeurde onder de noemer Operatie MEDUSA. In totaal ging er bijna twintig jaar aan onderzoek naar de Russische malwaretools aan vooraf. De Amerikaanse regering heeft in deze periode diverse FSB-functionarissen gevolgd die werkten vanuit hun basis in Ryazan (Rusland). De Russische veiligheidsdienst is volgens de VS verantwoordelijk voor de ontwikkeling van “de meest geavanceerde cyberspionagemalware”.
Turla gebruikte het Snake-netwerk om buitgemaakte gegevens via relaisknooppunten, die over de wereld waren verspreid, te versturen naar FSB-medewerkers in Rusland. Na analyse van de Russische malware wist de FBI een tool te ontwikkelen om communicatiesessies die via dit netwerk verliepen te monitoren en analyseren, en de malware te vernietigen.
“Hoewel Operatie MEDUSA de Snake-malware op aangetaste computers heeft uitgeschakeld, moeten slachtoffers extra maatregelen nemen om zich tegen verdere schade te beschermen”, stelt het ministerie van Justitie. Bij de actie zijn geen kwetsbaarheden verholpen of beveiligingslekken gedicht. Er is ook niet gezocht naar aanvullende malware of hackingtools die hackers mogelijk op de netwerken van hun slachtoffers hebben geïnstalleerd.
Tot slot, zo benadrukt het departement, maakte Turla vaak gebruik van een keylogger om inlog- en authenticatiegegevens van slachtoffers te stellen. “Gedupeerden moeten zich ervan bewust zijn dat Turla deze gestolen informatie kan gebruiken om opnieuw toegang te krijgen tot besmette computers en andere accounts”, aldus het ministerie.
Dave Maasland, CEO van ESET Nederland, zegt op Twitter dat Operatie MEDUSA op een cruciaal moment in de oorlog tussen Rusland en Oekraïne komt. “Dit betekent dat de informatiepositie van Rusland keihard wordt geraakt, met mogelijk merkbare gevolgen in de oorlog. Dit is groot.”
Maasland benadrukt dat de actie van de FBI op een ‘bijzonder gevoelig moment in de oorlog’ komt. Oekraïense soldaten staan namelijk op het punt om een tegenoffensief te lanceren om Russische troepen te verdrijven. “Het is niet ondenkbaar dat de potentiële verstoring van de Russische spionageactiviteiten impact kan hebben op het verloopt van dit conflict”
https://www.justice.gov/usao-edny/pr/justice-department-announces-court-authorized-disruption-snake-malware-network