ABD Adalet Bakanlığı, ABD Hükümeti’nin bir birime atfettiği “Yılan” (“Uroburous” olarak da bilinir) adı verilen karmaşık kötü amaçlı yazılımın tehlikeye attığı küresel bir eşler arası bilgisayar ağını bozmak için mahkeme tarafından yetkilendirilen MEDUSA operasyonunun tamamlandığını duyurdu. Rusya Federasyonu Federal Güvenlik Servisi’nin (FSB) 16. Merkezinde.
Mahkeme belgelerinde “Turla” olarak anılan bu birim, yaklaşık 20 yıldır, Kuzey Atlantik Antlaşması Örgütü’ne (NATO) ait en az 50 ülkedeki yüzlerce bilgisayar sisteminden hassas belgeleri çalmak için Snake kötü amaçlı yazılımının sürümlerini kullandı. ) üye hükümetler, gazeteciler ve Rusya Federasyonu’nu ilgilendiren diğer hedefler.
Bu belgeleri çaldıktan sonra Turla, Amerika Birleşik Devletleri’nde ve dünyanın dört bir yanında, farkında olmadan Snake’in ele geçirdiği bilgisayarlardan oluşan gizli bir ağ aracılığıyla onları sızdırdı.
Yılan kötü amaçlı yazılımı, Turla tarafından onlarca yıldır kullanılıyor
ABD Hükümeti, yaklaşık 20 yıldır Snake ve Snake ile ilgili kötü amaçlı yazılım araçlarını araştırıyor ve Rusya’nın Ryazan kentindeki bilinen bir FSB tesisinden Snake kullanarak günlük operasyonlar yürüten Turla’ya atanan FSB görevlilerini izliyor.
Snake, var olduğu süre boyunca birçok siber güvenlik sektörü raporuna konu olmuş olsa da, Turla, Snake’in Turla’nın en gelişmiş uzun vadeli siber casusluk kötü amaçlı yazılım implantı olarak kalmasını sağlamak için çok sayıda yükseltme ve revizyon uygulamış ve bunları seçici olarak dağıtmıştır.
Yılan implantı bozulmadığı sürece güvenliği ihlal edilmiş bir bilgisayarın sisteminde süresiz olarak varlığını sürdürür ve tipik olarak makinenin sahibi veya yetkili kullanıcıları tarafından fark edilmez. FBI, bir kurbanın uzlaşmayı düzeltme çabalarına rağmen Snake’in belirli bilgisayarlarda devam ettiğini gözlemledi.
Snake, Turla operatörlerine, belirli bir makinede depolanan hassas bilgileri ve belgeleri belirleyip çalmak üzere Snake’in işlevselliğini genişletmek için seçilen kötü amaçlı yazılım araçlarını uzaktan dağıtma yeteneği sağlar. En önemlisi, Snake’in tehlikeye attığı dünya çapındaki bilgisayar koleksiyonu, Western ve diğer sinyal istihbarat servislerinin algılama, izleme ve toplama çabalarını engellemek için tasarlanmış özelleştirilmiş iletişim protokollerini kullanan gizli bir eşler arası ağ görevi görür.
Turla, hedef sistemlerden sızan verileri dünyanın dört bir yanına dağılmış çok sayıda aktarma düğümü aracılığıyla Rusya’daki Turla operatörlerine geri yönlendirmek için Yılan ağını kullanıyor. Örneğin, FBI, ABD İstihbarat Topluluğu’ndaki ortakları ve müttefik yabancı hükümetlerle birlikte, FSB’nin, NATO üyesi hükümetler tarafından işletilenler de dahil olmak üzere hassas bilgisayar sistemlerinden veri aktarımını yönlendirerek hassas bilgisayar sistemlerinden veri sızdırmak için Yılan ağını kullanmasını izlemiştir. bu çalınan veriler, farkında olmadan Amerika Birleşik Devletleri’ndeki Snake’in tehlikeye attığı bilgisayarlar aracılığıyla.
Enfeksiyonlar nasıl tespit edilir ve giderilir
Yıllar boyunca siber güvenlik şirketleri, Snake’in gelişimini ve Turla’nın faaliyetlerini belgeliyor.
Snake, başlangıçta Windows’ta çalışan bir kötü amaçlı yazılımdı ve ardından Linux ve macOS’ta çalışacak şekilde değiştirildi. Turla başka kötü amaçlı yazılımları ve çeşitli yeni taktikleri de kullandı.
FBI, Snake kötü amaçlı yazılımının ve Snake ağının analizi yoluyla, Snake iletişimlerinin şifresini çözme ve kodunu çözme becerisini geliştirdi.
FBI, Snake ağını izlemekten ve Snake kötü amaçlı yazılımını analiz etmekten elde edilen bilgilerle, belirli bir bilgisayarda Snake kötü amaçlı yazılım implantıyla iletişim oturumları oluşturan ve Snake implantın ana bilgisayarı etkilemeden kendi kendini devre dışı bırakmasına neden olan komutlar veren PERSEUS adlı bir araç geliştirdi. veya bilgisayardaki yasal uygulamalar.
PERSEUS’un kullanılmasıyla MEDUSA Operasyonu, güvenliği ihlal edilmiş bilgisayarlarda Turla’s Snake kötü amaçlı yazılımını devre dışı bıraktı.
Amerika Birleşik Devletleri içinde, operasyon FBI tarafından sekiz bilgisayarda gerçekleştirildi. Amerika Birleşik Devletleri dışındaki mağdurlar için FBI, hem bu yetkililerin ülkelerindeki Yılan enfeksiyonlarını bildirmek hem de iyileştirme rehberliği sağlamak için yerel yetkililerle işbirliği yapıyor.
İşlem, güvenliği ihlal edilmiş bilgisayarlarda Snake kötü amaçlı yazılımını devre dışı bırakmış olsa da, kurbanların kendilerini daha fazla zarar görmemesi için ek adımlar atması gerekir. Snake’i devre dışı bırakma işlemi, herhangi bir güvenlik açığını düzeltmedi veya bilgisayar korsanlığı gruplarının kurbana yerleştirmiş olabileceği ek kötü amaçlı yazılımları veya bilgisayar korsanlığı araçlarını aramadı veya kaldırmadı.
Ayrıca, mahkeme belgelerinde belirtildiği gibi Turla, Snake ile sık sık, Turla’nın meşru kullanıcılardan kullanıcı adları ve parolalar gibi hesap kimlik doğrulama bilgilerini çalmak için kullanabileceği bir “keylogger” kullanır. Mağdurlar, Turla’nın çalınan bu kimlik bilgilerini güvenliği ihlal edilmiş bilgisayarlara ve diğer hesaplara hileli bir şekilde yeniden erişmek için kullanabileceğinin farkında olmalıdır.
FBI, Ulusal Güvenlik Teşkilatı (NSA), Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), ABD Siber Komutanlığı Siber Ulusal Misyon Gücü ve Five Eyes üyesi ülkelerin her birinden altı diğer istihbarat ve siber güvenlik teşkilatı ortak bir siber güvenlik danışmanlığı yayınladı. siber güvenlik uzmanlarının ağlarındaki Snake kötü amaçlı yazılım bulaşmalarını tespit etmesine ve düzeltmesine olanak tanıyan, Snake kötü amaçlı yazılımı hakkında ayrıntılı teknik bilgiler içerir.
Ajanslar, “Snake’ı FSB’nin cephaneliğindeki en gelişmiş siber casusluk aracı olarak görüyoruz” dedi.
Snake, “ana bilgisayar bileşenlerinde ve ağ iletişimlerinde nadir bir gizlilik düzeyi elde etmek için araçlar kullanır” ve “dahili teknik mimarisi, farklı ana bilgisayar işletim sistemlerinde çalışan Snake örneklerinin geliştirilmesini ve birlikte çalışabilirliğini kolaylaştıran” yeni veya değiştirilen bileşenlerin kolayca dahil edilmesini sağlar. sistemler.” Son olarak, “Snake, karmaşıklığı göz önüne alındığında şaşırtıcı derecede az hata içeren implant ile dikkatli bir yazılım mühendisliği tasarımı ve uygulaması gösteriyor.”