Rusya’nın siber casusluk için kullanılan en gelişmiş araçlarından biri olan yılan kötü amaçlı yazılımının üzerine, kod adı Medusa Operasyonu olan küresel bir ortak eylem yazıldı.
Snake kötü amaçlı yazılımı, Turla tehdit grubu olarak da bilinen Rusya’nın Federal Güvenlik Servisi (FSB) Merkezi 16 tarafından oluşturuldu ve kullanıldı ve yaygın olarak türünün en gelişmişi olarak kabul ediliyor.
CISA USA tarafından yapılan bir duyuruya göre, birincil amacı, yüksek değerli hedeflerden uzun süreler boyunca istihbarat toplamak ve bu da onu casusluk için oldukça etkili bir araç haline getirmek.
Snake kötü amaçlı yazılımını ortadan kaldırma operasyonu, ABD’den Avustralya’ya kadar küresel ajansların ortak çalışmasıydı. Ülkeler, kötü amaçlı yazılım tarafından kullanılan komuta ve kontrol sunucularını tanımlayabildiler, bu da kötü amaçlı yazılımı devre dışı bırakmalarına ve çalışmasını engellemelerine olanak sağladı.
Bir Adalet Bakanlığı haber bülteni, “MEDUSA Operasyonu, Snake kötü amaçlı yazılımının kendi hayati bileşenlerinin üzerine yazmasına neden olan komutlar yayınlayan, FBI tarafından yaratılan PERSEUS adlı bir araç kullanılarak, güvenliği ihlal edilmiş bilgisayarlarda Turla’nın Snake kötü amaçlı yazılımını devre dışı bıraktı” dedi.
Başsavcı Merrick B. Garland, “Adalet Bakanlığı, uluslararası ortaklarımızla birlikte, Rus hükümetinin yaklaşık yirmi yıldır NATO müttefiklerimize karşı siber casusluk yapmak için kullandığı kötü amaçlı yazılım bulaşmış bilgisayarlardan oluşan küresel bir ağı ortadan kaldırdı.” Snake kötü amaçlı yazılımını bozan operasyondan bahsetti.
Yılan kötü amaçlı yazılım bozulması
Snake kötü amaçlı yazılım ağı, Federal Soruşturma Bürosu, Amerika Birleşik Devletleri New York Doğu Bölgesi Savcılığı ve hükümet organları arasındaki uluslararası işbirliğinin ortak çabasıyla bozuldu.
CISA duyurusu, “FSB, küresel olarak, hükümet ağları, araştırma tesisleri ve gazeteciler gibi yüksek öncelikli hedeflerden hassas istihbarat toplamak için Snake’i kullandı” dedi.
“Örnek olarak, FSB aktörleri, bir Kuzey Atlantik Anlaşması Örgütü (NATO) ülkesindeki bir kurbandan hassas uluslararası ilişkiler belgelerinin yanı sıra diğer diplomatik iletişimlere erişmek ve bunları sızdırmak için Snake’i kullandı.”
ABD Hükümeti neredeyse yirmi yıldır Snake kötü amaçlı yazılımını ve ilgili araçları araştırıyor. Siber güvenlik endüstrisinden çok sayıda rapora konu olmasına rağmen, Rusya’nın FSB Center 16 namı diğer Turla, en gelişmiş implantları olarak kalmasını sağlamak için Snake maklware’i sürekli olarak güncelledi ve revize etti.
Snake kötü amaçlı yazılımı, güvenliği ihlal edilmiş bir sistemde süresiz olarak kalabilir ve tespit edilmesi zordur. Turla operatörlerinin, hedeflenen makinelerden hassas bilgileri çalmak için seçilen kötü amaçlı yazılım araçlarını uzaktan dağıtmasına olanak tanır.
Ek olarak, Snake kötü amaçlı yazılımı tarafından tehlikeye atılan bilgisayar ağı, dışarı sızan verileri Rusya’daki Turla operatörlerine geri yönlendiren eşler arası bir ağ görevi görerek, Batılı sinyal istihbarat servisleri tarafından izlenmesini veya toplanmasını zorlaştırıyor.
Ancak FBI, Snake kötü amaçlı yazılımının ve ağının analizi yoluyla, ana bilgisayarı veya yasal uygulamaları etkilemeden kötü amaçlı yazılımı devre dışı bırakabilen PERSEUS adlı bir araç geliştirdi.
FBI ve ortakları ayrıca, çalınan verilerin iletimini ABD’de farkında olmadan Snake’in tehlikeye attığı bilgisayarlar aracılığıyla yönlendirerek, NATO üyesi hükümetler tarafından işletilenler de dahil olmak üzere hassas bilgisayar sistemlerinden veri sızdırmak için Snake ağının kullanımını izledi.
Snake kötü amaçlı yazılımıyla ilgili ayrıntılar
Kötü amaçlı yazılım, Ryazan merkezli FSB görevlileri tarafından geliştirildi ve operasyonları Moskova’daki yaklaşık 16 binadan başlatıldı.
Merkez 16 bünyesindeki FSB birimi, 2003 yılında Uroburos’u geliştirmeye başladı ve 2004’te tamamlandı. Gelişmiş özellikler için yükseltilirken kısa süre sonra siber saldırılar başlatmak için kullanıldı.
Uroburos kodunun ilk sürümlerinde, adı benzersiz dizilerde kullanılmıştı: Ur0bUr()sGoTyOu#. Yukarıda gösterilen görüntü, Alman filozof Jakob Böhme’nin Uroboros’un tarihsel çiziminin bir parçası olan kötü amaçlı yazılımın geliştiricileri tarafından kullanıldı.
Uroboros, kendi kuyruğunu yutarken gösterilen, kenarında bir yılan veya ejderha bulunan dairesel bir semboldür. Uroburos, günümüzün Snake kötü amaçlı yazılımına yöneldi. Snake, yalnızca C programlama dillerinde yazılmıştır.
Medusa Operasyonu: Snake kötü amaçlı yazılımı FBI tarafından nasıl bozuldu?
Bir İnternet Suçları Şikayet Merkezi (IC3) haber bülteni, “Snake gibi bir aracın doğru kullanımı için daha fazla aşinalık ve uzmanlık gerektirir ve bazı durumlarda Snake operatörleri onu tasarlandığı gibi kullanmayı ihmal etmiştir.”
Snake kötü amaçlı yazılımı, geliştirme ve operasyonlarında yapılan aşırı hatalar nedeniyle izleme kolaylığı nedeniyle bozuldu.
Haber bülteninde, Snake kötü amaçlı yazılımı tarafından yapılan Diffie-Hellman anahtar seti çok kısa olduğu için güvenli değildi.
Araştırmacılar, Medusa operasyonu sırasında birkaç işlev adı, açık metin dizesi ve geliştirici yorumu buldu.
Turla, Snake kötü amaçlı yazılımını 50’den fazla NATO ülkesine ait hedeflerden ve diğerlerinin yanı sıra gazetecilerden hassas verileri çalmak için kullandı. Çalınan veriler, ABD ve diğer ülkelerdeki gizli bir cihaz ağı aracılığıyla sızdırıldı.
DoJ basını, “MEDUSA Operasyonu, güvenliği ihlal edilmiş bilgisayarlarda Snake kötü amaçlı yazılımını devre dışı bırakmış olsa da, kurbanlar kendilerini daha fazla zarar görmemek için ek adımlar atmalıdır” diye uyardı.
Snake’i devre dışı bırakma işlemi, herhangi bir güvenlik açığını düzeltmedi veya bilgisayar korsanlığı gruplarının kurbana yerleştirmiş olabileceği ek kötü amaçlı yazılımları veya bilgisayar korsanlığı araçlarını aramadı veya kaldırmadı.
NCSC Birleşik Krallık Operasyon Direktörü Paul Chichester bir basın açıklamasında, “Kuruluşları, Snake kötü amaçlı yazılımı hakkındaki teknik bilgileri okumaya ve bu gelişmiş tehdidi tespit edip bunlara karşı savunmaya yardımcı olacak önlemleri uygulamaya teşvik ediyoruz” dedi.