Guvernul SUA a furnizat specialiștilor în securitate cibernetică o perspectivă unică asupra funcționării malware-ului dezvoltat de Serviciul Federal de Securitate (FSB) din Rusia. Departamentul de Justiție al SUA a informat că o rețea de calculatoare compromisă de către FSB a fost dezactivată după o perioadă de funcționare de peste 20 de ani. 

Agenția SUA pentru Securitate Cibernetică și Securitatea Infrastructurii (CISA) a dezvăluit modul în care FSB a creat o rețea peer-to-peer numită Snake, utilizată pentru furtul informațiilor de la companii, organizații media, instituții de învățământ, agenții guvernamentale și furnizori de servicii financiare din întreaga lume, scrie Defense Romania.

Potrivit CISA, Snake utilizează o arhitectură modulară, care a permis FSB să adauge noi capacități de-a lungul anilor, transformând-o în una dintre cele mai sofisticate instrumente de spionaj cibernetic create vreodată.

Snake a fost învins cu propriile sale metode

Un aspect pe care dezvoltatorii Snake nu l-au luat în considerare este faptul că rețeaua creată de ei avea identificatori unici. FSB a utilizat un set de chei de criptare (Diffie-Hellman) prea scurt pentru a asigura securitatea. În plus, în unele cazuri, utilizarea Snake pare să fi fost făcută în grabă. Acest lucru a dus la descoperirea mai multor indicii (text în clar și comentarii ale dezvoltatorilor), deoarece agenții FSB au omis să șteargă sau să ascundă mai bine anumite fișiere binare ale Snake.

În cele din urmă, investigatorii au descoperit o caracteristică specifică a protocolului de comunicare al Snake, ceea ce a permis identificarea amprentelor digitale trimise de la o mașină infectată cu Snake către alta.

Pe baza acestor identificatori, a fost dezvoltată aplicația Perseus ca parte a Operațiunii Medusa, pentru a emite comenzi către programele malware Snake, care să le dezactiveze definitiv.

Cu toate acestea, organizațiile care au fost infectate de Snake trebuie să fie conștiente că credențialele furate înainte de dezactivarea sa pot fi utilizate pentru a accesa sistemele compromise anterior și conturile online.

 

 

​ 

LEAVE A REPLY

Please enter your comment!
Please enter your name here