美國FBI稱摧毀了SNAKE網絡間諜軟件

5月9日，FBI發布報告，稱其成功入侵并摧毀了網絡間諜軟件SNAKE。

在報告中，FBI指出Snake惡意軟件的開發始于2003年底，名為“Uroburos”，而第一個版本的植入程序似乎在2004年初完成。該惡意軟件與俄羅斯Turla黑客組織相關聯 。

根據9日公開的法庭文件，美國近20年來一直密切關注Snake和與Snake相關的惡意軟件工具。

報告中指出，作為“最復雜的長期網絡間諜惡意軟件植入物”，Snake允許其操作員在受感染的設備上遠程安裝惡意軟件，竊取敏感文檔和信息（例如身份驗證憑證），保持持久性，并在使用時隱藏他們的惡意活動“隱蔽的點對點網絡。

 通過自毀命令禁用 

Snake的一個關鍵方面是它的點對點性質，這使得攻擊者可以通過位于受信任位置的受損計算機來路由其間諜和滲透活動，從而使活動更難被發現。

據聯合咨詢報告，FBI之所以能夠解密SNAKE的通信，實際上是利用了SNAKE開發者的錯誤。

在某些看似倉促部署Snake的情況下，操作員忽略了剝離 Snake二進制文件，導致大量函數名稱、明文字符串和開發人員評論被泄露。

攻擊者使用OpenSSL庫來處理其Diffie-Hellman密鑰交換。Snake在密鑰交換期間創建的Diffie-Hellman密鑰集太短而不安全，提供的函數DH_generate_parameters的質數長度僅為128位，這對于非對稱密鑰系統來說是不夠的。

幾年來，FBI研究了區分、解密和解釋Snake網絡流量的方法，并開發了一個名為 PERSEUS的工具。

它可與特定計算機上的Snake惡意軟件植入物建立通信會話，并發出命令使Snake植入物自行禁用而不影響主機或計算機上的合法應用程序。

當前，FBI已經關閉了美國境內所有受感染的設備，而在美國境外，該機構“正在與地方當局合作，以提供有關當局所在國家/地區內 Snake 感染的通知和補救指導。

報告指出，在 50 多個國家/地區檢測到的 Snake 惡意軟件基礎設施被黑客用來從政府網絡、研究組織和記者在內的廣泛目標收集和竊取敏感數據。

美國主動網絡攻擊行動端倪

值得注意的是，FBI的這項行動依賴于一項名為Rule 41的法律條款，該條款允許法官授權美國調查人員訪問多個司法管轄區的計算機并采取特定行動。該規定已用于其他主動的聯邦網絡行動，包括2022年4月FBI拆除僵尸網絡Cyclops Blink。

正如美國司法部副部長麗莎·莫納科(Lisa Monaco)最近所述，所有這三項行動以及其他網絡犯罪執法行動都是美國政府持續推動開展更積極主動的網絡行動的一部分。