WASHINGTON – Das US-Justizministerium sagte am Dienstag, es habe ein „ausgeklügeltes“ Malware-Netzwerk deaktiviert, das vom russischen Geheimdienst FSB zwei Jahrzehnte lang zur Spionage in 50 Ländern, einschließlich eines NATO-Verbündeten, verwendet wurde.
Laut US-Beamten hatte der FSB die Malware „Snake“ oder „Uroburos“ erfolgreich in Computersysteme auf der ganzen Welt eingefügt, die sich auf Regierungsnetzwerke, Forschungseinrichtungen, Journalisten und andere Ziele konzentrierten.
Computer im System dienten auch als Relaisknoten, um den Datenverkehr von und zu Snake-Malware zu verschleiern, die auf Zielcomputersystemen eingefügt wurde, sagten sie.
In einer jahrelangen Operation war das FBI in der Lage, Snake zu besiegen, indem es seinen eigenen Computercode hineinfügte, der Befehle ausgab, die dazu führten, dass sich die Malware selbst überschrieb, sagte das Justizministerium.
„Durch eine High-Tech-Operation, die russische Malware gegen sich selbst gerichtet hat, haben die US-Strafverfolgungsbehörden eines der raffiniertesten Cyber-Spionage-Tools Russlands neutralisiert, das zwei Jahrzehnte lang verwendet wurde, um Russlands autoritäre Ziele voranzutreiben“, sagte die stellvertretende Generalstaatsanwältin Lisa Monaco.
Die Malware ist Computersicherheitsexperten seit mindestens einem Jahrzehnt bekannt, und CISA, die US-Cyberverteidigungsbehörde, sagte, der FSB habe 2003 mit der Entwicklung begonnen.
CISA bezeichnete Snake als „das raffinierteste Cyber-Spionage-Tool im Arsenal des FSB“ und stellte fest, dass es besonders heimlich und in Computersystemen und im Netzwerkverkehr äußerst schwer zu entdecken sei.
Darüber hinaus wurde es für eine einfache Aktualisierung und Modifikation entwickelt und hatte dennoch “überraschend wenige Fehler angesichts seiner Komplexität”, sagte CISA.
Diese Aspekte ermöglichten es dem FSB, jahrelang unentdeckt durch weitläufige Host-Netzwerke zu arbeiten, um in Computer mit sensiblen Dokumenten einzudringen.
Mindestens in einem Fall wurde Snake in die Systeme eines namenlosen NATO-Landes platziert, wodurch der russische Geheimdienst auf sensible Dokumente der internationalen Beziehungen und diplomatische Kommunikation zugreifen und diese exfiltrieren konnte, sagte CISA.
„Die Wirksamkeit dieser Art von Cyber-Spionage-Implantat hängt vollständig von ihrer langfristigen Tarnung ab“, sagte die Agentur.
– FBI hackt zurück –
Frühere offizielle und Nachrichtenberichte haben darauf hingewiesen, dass Snake und verwandte Software auf Regierungssystemen in Deutschland, Belgien, der Ukraine und der Schweiz gefunden wurden.
CISA sagte, US-Ermittler hätten die Entwicklung der Malware auf eine FSB-Einheit namens Center 16 zurückgeführt, die von Rjasan, Russland, aus operiere, und ihre Tätigkeit von einem Büro der Einheit in Moskau aus.
CISA sagte, dass es und Cyber-Experten in Verbündeten die Einheit und ihre Hacking-Tools – besser bekannt als das Turla-Toolset – seit fast 20 Jahren untersuchen.
Der FSB hat es für die Verwendung in Windows-, MacOS- und Linux-Betriebssystemen angepasst, und selbst als es von Computersicherheitsfirmen als Bedrohung entlarvt wurde, konnten die Russen es modifizieren, um es verborgen und funktionsfähig zu halten.
Die Raffinesse von Snake führte jedoch zu Fehlern bei der Verwendung durch weniger geschickte FSB-Betreiber, was es westlichen Ermittlern ermöglichte, in sein Innenleben einzudringen und die Malware zu verfolgen, sagte CISA.
Das Justizministerium sagte, das FBI habe ein Tool namens Perseus entwickelt, das die russische Malware unwirksam machte.
Perseus „baut Kommunikationssitzungen mit dem Snake-Malware-Implantat auf einem bestimmten Computer auf und gibt Befehle aus, die bewirken, dass sich das Snake-Implantat selbst deaktiviert, ohne den Host-Computer oder legitime Anwendungen auf dem Computer zu beeinträchtigen“, sagte die Abteilung.
Trotz des Erfolgs des Perseus-Implantats ist die Snake-Malware immer noch eine Bedrohung, so eine gemeinsame Empfehlung, die am Dienstag von Cyber-Behörden in den Vereinigten Staaten, Kanada, Großbritannien, Australien und Neuseeland herausgegeben wurde.