Les agences de cybersécurité et de renseignement de tous les pays membres de Five Eyes ont mis hors service l’infrastructure utilisée par le logiciel malveillant de cyberespionnage Snake exploité par le Service fédéral de sécurité (FSB) de Russie.

Le développement du malware Snake a commencé sous le nom « Uroburos » à la fin de 2003, tandis que les premières versions de l’implant ont apparemment été finalisées au début de 2004, les pirates de l’État russe déployant le malware dans des attaques immédiatement après.

Le logiciel malveillant est lié à une unité du Centre 16 du FSB, le célèbre groupe de piratage russe Turla, et a été interrompu à la suite d’un effort coordonné nommé Opération MEDUSA.

Parmi les ordinateurs piégés dans le botnet peer-to-peer Snake, le FBI a également trouvé des appareils appartenant à des gouvernements membres de l’OTAN.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des logiciels malveillants que le gouvernement russe utilise depuis près de deux décennies pour mener du cyberespionnage, y compris contre nos alliés de l’OTAN », a déclaré le procureur général Garland dans un communiqué. communiqué de presse publié aujourd’hui.

Selon des documents judiciaires non scellés aujourd’hui (affidavit et mandat de perquisition), le gouvernement américain a surveillé de près Snake et les outils malveillants liés à Snake pendant près de 20 ans, tout en surveillant les pirates russes de Turla utilisant Snake depuis une installation du FSB à Riazan, en Russie.

Décrit comme « l’implant malveillant de cyberespionnage à long terme le plus sophistiqué du FSB », Snake a permis à ses opérateurs d’installer à distance des logiciels malveillants sur des appareils compromis, de voler des documents et des informations sensibles (par exemple, des identifiants d’authentification), de maintenir la persistance et de masquer leurs activités malveillantes lors de l’utilisation de ce logiciel. « réseau peer-to-peer secret. »

Les agences de cybersécurité et de renseignement Five Eyes ont également publié un avis conjoint contenant des détails pour aider les défenseurs à détecter et à supprimer les logiciels malveillants Snake sur leurs réseaux.

Désactivé via la commande d’autodestruction
Le FBI a retiré tous les appareils infectés aux États-Unis tandis qu’en dehors des États-Unis, l’agence « s’engage avec les autorités locales pour fournir à la fois un avis d’infection par Snake dans les pays de ces autorités et des conseils de remédiation ».

« Comme décrit dans les documents judiciaires, grâce à l’analyse du malware Snake et du réseau Snake, le FBI a développé la capacité de déchiffrer et de décoder les communications Snake », a déclaré le ministère américain de la Justice.

« Avec les informations recueillies lors de la surveillance du réseau Snake et de l’analyse du malware Snake, le FBI a développé un outil, nommé PERSEUS, qui établit des sessions de communication avec l’implant de malware Snake sur un ordinateur particulier, et émet des commandes qui provoquent la désactivation de l’implant Snake sans affecter l’ordinateur hôte ou des applications légitimes sur l’ordinateur. »

Après avoir déchiffré le trafic réseau entre les appareils de l’OTAN et des États-Unis compromis par le logiciel malveillant Snake, le FBI a également découvert que les opérateurs de Turla utilisaient l’implant pour tenter de voler ce qui ressemblait à des documents confidentiels des Nations Unies et de l’OTAN.

Le mandat de perquisition obtenu par le FBI a permis à l’agence d’accéder aux appareils infectés, d’écraser le logiciel malveillant sans affecter les applications et les fichiers légitimes et de mettre fin au logiciel malveillant exécuté sur les ordinateurs compromis.

Le FBI avertit maintenant tous les propriétaires ou opérateurs d’ordinateurs accessibles à distance pour supprimer le logiciel malveillant Snake et les informe qu’ils pourraient avoir à supprimer d’autres outils malveillants ou logiciels malveillants plantés par les attaquants, y compris les enregistreurs de frappe que Turla a souvent également déployés sur les systèmes infectés.

Jusqu’à ce qu’elle soit interrompue, l’infrastructure du malware Snake, qui a été détectée dans plus de 50 pays, a été utilisée par les pirates russes du FSB pour collecter et voler des données sensibles auprès d’un large éventail de cibles, notamment des réseaux gouvernementaux, des organismes de recherche et des journalistes. .

Turla (également suivi sous les noms de Waterbug et Venomous Bear) orchestre des campagnes de cyberespionnage ciblant les gouvernements, les ambassades et les centres de recherche du monde entier depuis au moins 1996.

Ils sont les suspects derrière des attaques visant le commandement central américain, le Pentagone et la NASA, plusieurs ministères des Affaires étrangères d’Europe de l’Est, ainsi que le ministère finlandais des Affaires étrangères.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *