五眼聯盟破壞了FSB武器庫中最復雜的網絡間諜工具

美國司法部宣布完成法院授權的 MEDUSA 行動，以破壞受復雜惡意軟件（稱為“Snake”（又名“Uroburos”））危害的全球點對點計算機網絡。

美國政府將其歸因于一個單位在俄羅斯聯邦聯邦安全局 (FSB) 的第 16 中心內。

近 20 年來，這個在法庭文件中被稱為“Turla”的單位使用 Snake 惡意軟件的版本從至少 50 個國家的數百個計算機系統中竊取敏感文件，這些計算機系統屬于北大西洋公約組織 (NATO) ) 成員國政府、記者和俄羅斯聯邦感興趣的其他目標。

在竊取這些文件后，Turla 通過美國和世界各地不知情的受 Snake 攻擊的計算機組成的秘密網絡將它們泄露出去。

數十年來，Turla 一直使用 Snake 惡意軟件

近 20 年來，美國政府一直在調查 Snake 和與 Snake 相關的惡意軟件工具，并監視分配給 Turla 的 FSB 官員使用來自俄羅斯梁贊的已知 FSB 設施的 Snake 進行日常操作。

盡管 Snake 自成立以來一直是多個網絡安全行業報告的主題，但 Turla 應用了多次升級和修訂，并有選擇地部署它，所有這些都是為了確保 Snake 仍然是 Turla 最復雜的長期網絡間諜惡意軟件植入物。

除非受到破壞，否則 Snake 植入程序會無限期地存在于受感染的計算機系統中，通常不會被機器的所有者或授權用戶檢測到。

FBI 已經觀察到 Snake 在特定計算機上持續存在，盡管受害者努力修復漏洞。

Snake 為其 Turla 操作員提供了遠程部署選定惡意軟件工具的能力，以擴展 Snake 的功能，以識別和竊取存儲在特定機器上的敏感信息和文檔。

最重要的是，全球收集的受蛇攻擊的計算機充當了一個隱蔽的點對點網絡，它利用定制的通信協議來阻礙西方和其他信號情報服務的檢測、監控和收集工作。

Turla 使用 Snake 網絡將從目標系統泄露的數據通過分散在世界各地的眾多中繼節點路由回俄羅斯的 Turla 運營商。

聯邦調查局、其在美國情報界的合作伙伴以及外國盟國政府已監測到 FSB 使用 Snake 網絡從敏感計算機系統（包括北約成員國政府運營的系統）中竊取數據，通過路由傳輸這些被盜數據是通過美國不知情的被 Snake 入侵的計算機竊取的。

如何檢測和修復感染

多年來，網絡安全公司一直在記錄 Snake 的演變和 Turla 的活動。

Snake 最初是在Windows上運行的惡意軟件，然后被修改為在Linux和macOS上運行。Turla還使用了其他惡意軟件和各種新穎的策略。

通過對 Snake 惡意軟件和 Snake 網絡的分析，FBI 開發了解密和解碼 Snake 通信的能力。

利用從監控 Snake 網絡和分析 Snake 惡意軟件中收集到的信息，FBI 開發了一個名為 PERSEUS 的工具，它與特定計算機上的 Snake 惡意軟件植入程序建立通信會話，并發出命令使 Snake 植入程序自行禁用而不影響主機或計算機上的合法應用程序。

通過使用 PERSEUS，美杜莎行動在受感染的計算機上禁用了 Turla 的 Snake 惡意軟件。

在美國境內，該行動由聯邦調查局在八臺計算機上執行。

對于美國境外的受害者，FBI 正在與地方當局合作，以提供有關當局所在國家地區內的 Snake 感染通知和補救指導。

雖然該操作在受感染的計算機上禁用了 Snake 惡意軟件，但受害者應該采取額外的措施來保護自己免受進一步的傷害。

禁用 Snake 的操作沒有修補任何漏洞，也沒有搜索或刪除黑客組織可能放置在受害者身上的任何其他惡意軟件或黑客工具。

此外，正如法庭文件中所述，Turla 經常使用 Snake 部署“鍵盤記錄器”，Turla 可以使用它來竊取合法用戶的帳戶身份驗證憑據，例如用戶名和密碼。

受害者應該知道 Turla 可以使用這些被盜的憑據以欺詐方式重新訪問受感染的計算機和其他帳戶。

美國聯邦調查局、國家安全局 (NSA)、網絡安全和基礎設施安全局 (CISA)、美國網絡司令部網絡國家任務部隊以及來自五眼聯盟每個成員國的其他六個情報和網絡安全機構發布了聯合網絡安全咨詢包含有關 Snake 惡意軟件的詳細技術信息，使網絡安全專業人員能夠檢測和修復其網絡上的 Snake 惡意軟件感染。

這些機構還認為 Snake 是 FSB 武器庫中最復雜的網絡間諜工具，

Snake 采用特殊手段在其主機組件和網絡通信中實現罕見的隱身水平，其內部技術架構允許輕松合并新組件或替換組件，促進在不同主機操作上運行的 Snake 實例的開發和互操作性系統。

Snake 展示了仔細的軟件工程設計和實施，考慮到其復雜性，植入程序包含的錯誤少得驚人。