МИНИСТЕРСТВО ЮСТИЦИИ США ОБЪЯВЛЯЕТ О САНКЦИОНИРОВАННОМ СУДОМ ПРЕСЕЧЕНИИ ДЕЯТЕЛЬНОСТИ ВРЕДОНОСНОЙ СЕТИ «SNAKE», КОНТРОЛИРУЕМОЙ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ БЕЗОПАСНОСТИ РОССИИ

БРУКЛИН, НЬЮ-ЙОРК – Сегодня, Министерство юстиции США объявило о завершении санкционированной судом операции под кодовым названием «МЕДУЗА» по пресечению деятельности глобальной одноранговой сети компьютеров, зараженных высокотехнологичным вредоносным ПО под названием «Snake», которое правительство Соединенных Штатов связывает с подразделением в Центре 16 Федеральной службы безопасности Российской Федерации (ФСБ). На протяжении почти 20 лет данное подразделение, упоминаемое в судебных документах как «Турла», использовало версии вредоносного ПО «Snake» для хищения конфиденциальных документов в, по крайней мере 50 странах, из сотен компьютерных систем, принадлежащих правительствам стран-членов Организации Североатлантического договора (НАТО), журналистам и другим объектам внимания представляющих интерес для Российской Федерации. После хищения данных документов, «Турла» извлекала их через негласную сеть компьютеров в Соединенных Штатах и по всему миру, заражённых ПО «Snake» без ведома их владельцев. 

В результате операции «MEDUSA» вредоносное ПО «Turla Snake» на заражённых компьютерах было отключено с помощью созданного ФБР инструмента под названием «PERSEUS», который давал команды, заставившие вредоносное ПО «Snake» перезаписать собственные ключевые компоненты. На территории США операция была проведена ФБР в соответствии с ордером на обыск, выданным федеральным судьей-магистратом Восточного округа Нью-Йорка Шерил Л. Поллак, санкционировавшим удаленный доступ к заражённым компьютерам. Сегодня утром, суд разгласил отредактированные версии письменного показания под присягой, представленного в обоснование ходатайства о выдаче ордера на обыск, и самого ордера на обыск, выданного судом. В целях содействия потерпевшим за пределами Соединенных Штатов, ФБР взаимодействует с местными властями, как предоставляя уведомления о заражениях ПО «Snake» так и рекомендации по принятию корректировочных мер, в странах под юрисдикцией местных властей.

Меррик Б. Гарланд, Генеральный прокурор США; Брион Пис, федеральный прокурор США по Восточному округу Нью-Йорка; Лиза О. Монако, заместитель Генерального прокурора США, Министерство юстиции США и Майкл Д. Дрисколл, заместитель директора-начальник Нью-Йоркского регионального отделения ФБР, объявили о данной операции.

«Министерство юстиции вместе с нашими международными партнерами ликвидировало глобальную сеть зараженных вредоносным ПО компьютеров, которую российское правительство использовало в течение почти двух десятилетий для ведения кибершпионажа, в том числе против наших союзников по НАТО», — заявил Генеральный прокурор Гарланд. «Мы будем продолжать укреплять нашу коллективную оборону против дестабилизирующей деятельности российского режима по подрыву безопасности Соединенных Штатов и наших союзников».

«Россия использовала высокотехнологичное вредоносное ПО для хищения конфиденциальной информации у наших союзников, маскируя её пропуском через сеть зараженных компьютеров в Соединенных Штатах, цинично пытаясь скрыть свои преступления. Ответ на угрозу кибершпионажа требует творческого подхода и готовности использовать все законные средства для защиты нашей страны и наших союзников», — заявил федеральный прокурор США Пис. «Санкционированные судом обыск и работы по устранению последствий заражения, проведенные в удаленном режиме и объявленные сегодня, демонстрируют приверженность моего Управления и наших партнеров к использованию всех инструментов, имеющихся в нашем распоряжении, для защиты американского народа».

«Благодаря высокотехнологичной операции, которая обратила российское вредоносное ПО против себя, правоохранительные органы США нейтрализовали один из российских инструментов кибершпионажа высочайшего уровня, применяемого в течение двух десятилетий для продвижения авторитарных целей России», — заявила заместитель Генерального прокурора Лиза Монако. «Сочетая эту операцию с обнародованием информации, необходимой потерпевшим для самозащиты, Министерство юстиции продолжает ставить потерпевших в центр внимания в нашей работе по борьбе с киберпреступностью и активно сражаться со злоумышленниками в киберпространстве».
 

«Операция, о которой мы сегодня объявили, успешно пресекла деятельность ведущего инструмента кибершпионажа российского правительства. В течение двух десятилетий вредоносное ПО позволяло российской разведке заражать компьютерные системы и похищать конфиденциальную информацию, нанося ущерб не только правительству США и нашим союзникам, но и частному сектору. Это должно послужить напоминанием России и любой другой враждебной стране, готовой похищать информацию, что ФБР и наши партнеры сполчены в наших усилиях по защите наших стран», – заявил заместитель директора-начальник Нью-Йоркского регионального отделения ФБР Дрисколл.

Как подробно описано в судебных документах, правительство США уже почти 20 лет расследует вредоносное ПО «Snake» и связанные со «Snake» инструменты. Государственные органы США следят за сотрудниками ФСБ, прикомандированными к «Турла» и проводящими ежедневные операции с применением «Snake» с установленного объекта ФСБ в городе Рязань, РФ. 

Хотя ПО «Snake» было предметом нескольких отчетов в области кибербезопасности на протяжении всего своего существования, «Turla» осуществляла многочисленные обновления и редакции, и выборочно применяла его с тем чтобы ПО «Snake» оставалось самым высокотехнологичным долгосрочным внедрением вредоносного ПО, применяемым ФСБ в кибершпионаже. В случае непресечения его деятельности, внедрение ПО «Snake» на зараженных компьютерах, сохраняется в системе на неопределенное время, как правило, оставаясь незамеченным владельцем компьютера или его авторизованными пользователями. По наблюдениям ФБР, ПО «Snake» остается на некоторых компьютерах, несмотря на усилия потерпевшего по устранению заражения.  

ПО «Snake» даёт операторам «Турла» возможность удаленного применения отдельных вредоносных программ для расширения функциональности «Snake» в целях выявления и хищения конфиденциальной информации и документов, хранящихся на определенных компьютерах.  Прежде всего, набор зараженных «Snake» компьютеров по всему миру, действует как негласная одноранговая сеть, применяющая оптимизированные протоколы передачи данных, предназначенные для препятствования мониторингу и сбору данных, службами радиотехнической разведки Западных и иных стран. 

Для маршрутизации данных, извлеченных из целевых систем для передачи операторам «Turla» в России, через многочисленные ретрансляционные узлы, разбросанные по всему миру, «Турла» использует сеть «Snake». Например, ФБР и партнеры ФБР из разведывательного сообщества США, совместно с государственными органами стран-союзников, следили за использованием ФСБ сети «Snake» для извлечения данных из конфиденциальных компьютерных систем, в том числе, систем применяемых правительствами стран-членов НАТО, путем маршрутизации этих данных через компьютеры, зараженные «Snake» в США, без ведома их владельцев.

Как описано в судебных документах, с помощью анализа вредоносной программы «Snake» и сети «Snake», ФБР разработало метод расшифровывания и декодирования обмена информацией в сети «Snake». Используя информацию, собранную посредством наблюдения за сетью «Snake» и анализа вредоносного ПО «Snake», ФБР разработало инструмент под названием «PERSEUS», который устанавливает сеансы связи с внедрением вредоносного ПО «Snake» на определенном компьютере. Впоследствии, «PERSEUS» выдает команды, вызывающие самостоятельное отключение внедрения «Snake» без причинения ущерба самому компьютеру или легитимным программам, установленным на компьютере.

Сегодня, для поддержки сетевых защитников по всему миру, ФБР, Агентство национальной безопасности, Агентство по кибербезопасности и защите инфраструктуры, Национальная миссия по кибербезопасности при Киберкомандовании США, и шесть других спецслужб и агенств по кибербезопасности каждой из стран-участников альянса «Пять глаз», опубликовали совместную рекомендацию по кибербезопасности («Совместная рекомендация»), содержащую подробную техническую информацию о вредоносном ПО «Snake», которую специалисты по кибербезопасности смогут применять для идентификации и защиты от новых заражений вредоносным ПО «Snake» в их сетях. С Совместной рекомендацией можно ознакомиться здесь. ФБР и Государственный департамент США также предоставляют дополнительную информацию местным властям в странах, где были обнаружены компьютеры, подвергшиеся заражению вредоносным ПО «Snake».

Несмотря на то, что операция «MEDUSA» отключила вредоносное ПО «Snake» на заражённых компьютерах, пострадавшим следует принять дополнительные меры для предотвращения дальнейшего ущерба. Операция по отключению «Snake» не устранила уязвимости, не искала и не удаляла какие-либо другие вредоносные программы или средства взлома, которые группы хакеров могли разместить в сетях пострадавших. Министерство юстиции настоятельно призывает сетевых защитников ознакомиться с Совместной рекомендацией для получения дальнейших указаний по обнаружению уязвимостей и установлению корректировочных патч-файлов. Более того, как отмечалось в судебных документах, «Турла» часто использует «кейлоггер» вместе со «Snake», который «Турла» может использовать для хищения учетных данных, например, имен пользователей и паролей легитимных пользователей. Потерпевшим следует знать, что «Турла» может использовать эти похищенные учетные данные для восстановления доступа к зараженным компьютерам и другим учетным записям мошенническим путем.

ФБР уведомляет всех владельцев или операторов компьютеров, доступ к которым был произведен в удаленном режиме в соответствии с ордером на обыск, о проведении санкционированной судом операции.

Уголовное расследование использования вредоносного ПО «Snake» ФСБ проводит Управление прокуратуры по национальной безопасности и Управление прокуратуры по борьбе с киберпреступностью. Заместитель федерального прокурора Иэн Ричардсон отвечает за расследование, при содействии Отдела контрразведки и экспортного контроля Управления по национальной безопасности.

Меры по пресечению работы сети вредоносного ПО «Snake» были осуществлены под руководством Нью-Йоркского регионального управления ФБР, Управлением ФБР по борьбе с киберпреступностью, Федеральной прокуратурой США по Восточному округу Нью-Йорка и Отделом контрразведки и экспортного контроля Управления по национальной безопасности. Содействие было также оказано Отделом по компьютерным преступлениям и интеллектуальной собственности Управления по борьбе с уголовной преступностью.

Эти усилия не увенчались бы успехом без сотрудничества многочисленных структур частного сектора, включая тех потерпевших, которые позволили ФБР наблюдать за потоком информации «Snake» в своих системах.

Ордер на обыск:

Относительно поиска информации, связанной с компьютерами, составляющими сеть вредоносного программного обеспечения «Snake».

Реестр Восточного округа Нью-Йорка № 23-MJ-0428 (CLP)