Wynika to ze szczegółowego raportu Departamentu Sprawiedliwości USA. Oprogramowanie, nazwane „Snake”, jest „najbardziej wyrafinowanym rosyjskim narzędziem do cyberszpiegostwa”. Odpowiedzialna grupa Turla zostanie przydzielona następcy KGB, FSB. Prokurator generalny Merrick Garland powiedział, że program był używany przez prawie dwie dekady do szpiegowania celów w Stanach Zjednoczonych i innych krajach NATO.
Wysoki złożony atak
Jak pokazuje szczegółowa analiza programu, podejście hakerów było bardzo profesjonalne. „Snake” był uruchamiany przez sieć zainfekowanych maszyn na całym świecie. To nie tylko ukrywało źródło ataków, ale także utrudniało przeciwdziałanie atakom. Oprogramowanie było wielokrotnie poprawiane, aby utrudnić wykrywanie i zaktualizować je o nowe możliwości. Celem byłyby jednostki wojskowe, firmy, ale także dziennikarze i osoby prywatne. Według FBI po zainstalowaniu „Snake” pozostawał niewykryty przez lata. Według organu znane są nawet przypadki, w których poszkodowani próbowali usunąć oprogramowanie, które i tak pozostawało aktywne. W zależności od celu hakerzy byli w stanie ładować różne moduły, na przykład kraść dokumenty i przekazywać je sponsorom za pośrednictwem sieci.
Operacja Meduza
Kryptonim Medusa, FBI i sojusznicze agencje rozpoczęły kontroperację w 2015 roku. Dzięki żmudnej pracy amerykańskim hakerom udało się zidentyfikować 19 zainfekowanych komputerów w USA. Studiowali program przez kilka lat. Aż w końcu dokonali przełomu – i złamali szyfrowanie złośliwego oprogramowania. Nagle urzędnicy byli w stanie czytać razem z „Snake’iem” – i śledzić, jak i gdzie napastnicy uderzyli, co ukradli i gdzie ostatecznie przesłano dane.
Przede wszystkim ten przełom umożliwił im kontratak: eksperci FBI opracowali oprogramowanie o nazwie „Perseus”, które wykorzystywało mocne strony „Snake” – i zinfiltrowało program. Po uzyskaniu przez amerykańską policję federalną specjalnego zezwolenia Departamentu Sprawiedliwości na pracę poza własną jurysdykcją, ruszyła kontrofensywa: wraz z „Perseuszem” funkcjonariusze przejęli część sieci „Węża”. Zmusili program do usunięcia ważnych części własnego kodu. Władze podkreśliły, że wcześniej zainfekowane komputery nie musiały obawiać się żadnych niedogodności w wyniku tej dezaktywacji.
Niebezpieczeństwo nie zostało jednak całkowicie zażegnane – ostrzega Ministerstwo Sprawiedliwości. „Operacja zamknięcia „Snake’a” nie naprawia żadnej z wykorzystanych luk i nie usuwa żadnego dodatkowo zainstalowanego złośliwego oprogramowania” – czytamy w oświadczeniu. Przedsiębiorstwa i organy wskazane jako poszkodowane byłyby zatem informowane oddzielnie, aby móc rozwiązać wszelkie dalsze problemy. Pomysł nie jest całkowicie naciągany: w przeszłości, dzięki specjalnemu zezwoleniu, FBI faktycznie przejęło setki sieci firmowych za pośrednictwem zdalnego dostępu bez pytania – i zabezpieczyło je przed atakami.
