El Departamento de Justicia anunció hoy la finalización de una operación autorizada por la corte, cuyo nombre en código es MEDUSA, para interrumpir una red global de computadoras entre pares comprometida por un malware sofisticado, llamado «Snake», que el gobierno de EE. UU. atribuye a una unidad dentro de Centro 16 del Servicio Federal de Seguridad de la Federación Rusa (FSB).
antilavadodedinero / Justice.gov
Durante casi 20 años, esta unidad, denominada en documentos judiciales como «Turla», ha utilizado versiones del malware Snake para robar documentos confidenciales de cientos de sistemas informáticos en al menos 50 países, que han pertenecido a la Organización del Tratado del Atlántico Norte (OTAN). ) gobiernos miembros, periodistas y otros objetivos de interés para la Federación Rusa. Después de robar estos documentos,
La operación MEDUSA deshabilitó el malware Snake de Turla en las computadoras comprometidas mediante el uso de una herramienta creada por el FBI llamada PERSEUS, que emitió comandos que hicieron que el malware Snake sobrescribiera sus propios componentes vitales.
Dentro de los Estados Unidos, la operación fue ejecutada por el FBI de conformidad con una orden de allanamiento emitida por la juez federal Cheryl L. Pollak para el Distrito Este de Nueva York, que autorizó el acceso remoto a las computadoras comprometidas.
Esta mañana, el tribunal reveló versiones redactadas de la declaración jurada presentada en apoyo de la solicitud de orden de allanamiento y de la orden de allanamiento emitida por el tribunal. Para las víctimas fuera de los Estados Unidos, el FBI se está comunicando con las autoridades locales para proporcionar tanto avisos de infecciones de serpientes dentro de los países de esas autoridades como orientación para la remediación.
“El Departamento de Justicia, junto con nuestros socios internacionales, ha desmantelado una red global de computadoras infectadas con malware que el gobierno ruso ha utilizado durante casi dos décadas para realizar ciberespionaje, incluso contra nuestros aliados de la OTAN”, dijo el fiscal general Merrick B. Guirnalda. “Seguiremos fortaleciendo nuestras defensas colectivas contra los esfuerzos desestabilizadores del régimen ruso para socavar la seguridad de Estados Unidos y nuestros aliados”.
“A través de una operación de alta tecnología que puso el malware ruso en su contra, las fuerzas del orden de EE. UU. neutralizaron una de las herramientas de ciberespionaje más sofisticadas de Rusia, utilizada durante dos décadas para promover los objetivos autoritarios de Rusia”, dijo la fiscal general adjunta Lisa O. Monaco.
“Al combinar esta acción con la divulgación de la información que las víctimas necesitan para protegerse, el Departamento de Justicia continúa colocando a las víctimas en el centro de nuestro trabajo contra el delito cibernético y lucha contra los ciberdelincuentes maliciosos”.
“Durante 20 años, el FSB se ha basado en el malware Snake para realizar ciberespionaje contra los Estados Unidos y nuestros aliados, eso termina hoy”, dijo el Fiscal General Adjunto Matthew G. Olsen de la División de Seguridad Nacional del Departamento de Justicia.
“El Departamento de Justicia utilizará todas las armas de nuestro arsenal para combatir la actividad cibernética maliciosa de Rusia, incluida la neutralización del malware a través de operaciones de alta tecnología, haciendo un uso innovador de las autoridades legales y trabajando con aliados internacionales y socios del sector privado para amplificar nuestro impacto colectivo”.
“Rusia usó malware sofisticado para robar información confidencial de nuestros aliados, lavándola a través de una red de computadoras infectadas en los Estados Unidos en un cínico intento de ocultar sus crímenes.
Enfrentar el desafío del espionaje cibernético requiere creatividad y la voluntad de usar todos los medios legales para proteger a nuestra nación y a nuestros aliados”, dijo el Fiscal Federal Breon Peace para el Distrito Este de Nueva York. “La búsqueda y remediación remota autorizada por la corte y anunciada hoy demuestra el compromiso de mi oficina y de nuestros socios de usar todas las herramientas a nuestra disposición para proteger al pueblo estadounidense”.
“El anuncio de hoy demuestra la disposición y la capacidad del FBI para emparejar nuestras autoridades y capacidades técnicas con las de nuestros socios globales para desbaratar a los actores cibernéticos maliciosos”, dijo el subdirector Bryan Vorndran de la División Cibernética del FBI.
“Cuando se trata de combatir los intentos de Rusia de atacar a Estados Unidos y nuestros aliados utilizando herramientas cibernéticas complejas, no flaquearemos en nuestro trabajo para desmantelar esos esfuerzos.
Cuando se trata de cualquier estado nación involucrado en intrusiones cibernéticas que ponen en riesgo nuestra seguridad nacional, el FBI aprovechará todas las herramientas disponibles para imponer costos a esos actores y proteger al pueblo estadounidense”.
Como se detalla en los documentos judiciales, el gobierno de EE. UU. ha estado investigando las herramientas de malware relacionadas con Snake y Snake durante casi 20 años. El gobierno de EE. UU. ha monitoreado a los oficiales del FSB asignados a Turla que realizan operaciones diarias utilizando Snake desde una instalación conocida del FSB en Ryazan, Rusia.
Aunque Snake ha sido objeto de varios informes de la industria de ciberseguridad a lo largo de su existencia, Turla ha aplicado numerosas actualizaciones y revisiones, y lo ha implementado de forma selectiva, todo para garantizar que Snake siga siendo el implante de malware de ciberespionaje a largo plazo más sofisticado de Turla.
A menos que se interrumpa, el implante Snake persiste en el sistema de una computadora comprometida indefinidamente, generalmente sin ser detectado por el propietario de la máquina o los usuarios autorizados. El FBI ha observado que Snake persiste en determinadas computadoras a pesar de los esfuerzos de la víctima por remediar el problema.
Snake brinda a sus operadores de Turla la capacidad de implementar de forma remota herramientas de malware seleccionadas para ampliar la funcionalidad de Snake para identificar y robar información confidencial y documentos almacenados en una máquina en particular.
Lo que es más importante, la colección mundial de computadoras comprometidas con Snake actúa como una red encubierta de igual a igual, que utiliza protocolos de comunicación personalizados diseñados para obstaculizar los esfuerzos de detección, monitoreo y recopilación por parte de los servicios de inteligencia de señales occidentales y otros.
Turla utiliza la red Snake para enrutar los datos extraídos de los sistemas de destino a través de numerosos nodos de retransmisión dispersos por todo el mundo de regreso a los operadores de Turla en Rusia.
Por ejemplo, el FBI, sus socios en la comunidad de inteligencia de EE. UU., junto con gobiernos extranjeros aliados, han monitoreado el uso que hace el FSB de la red Snake para filtrar datos de sistemas informáticos confidenciales, incluidos los operados por gobiernos miembros de la OTAN, al enrutar la transmisión de estos datos robados a través de computadoras involuntarias comprometidas con Snake en los Estados Unidos.
Como se describe en los documentos judiciales, a través del análisis del malware Snake y la red Snake, el FBI desarrolló la capacidad de descifrar y decodificar las comunicaciones de Snake.
Con la información obtenida del monitoreo de la red Snake y el análisis del malware Snake, el FBI desarrolló una herramienta llamada PERSEUS que establece sesiones de comunicación con el implante de malware Snake en una computadora en particular y emite comandos que hacen que el implante Snake se deshabilite sin afectar la computadora host. o aplicaciones legítimas en la computadora.
Hoy, para empoderar a los defensores de la red en todo el mundo, el FBI, la Agencia de Seguridad Nacional, la Agencia de Seguridad de Infraestructura y Ciberseguridad, la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. y otras seis agencias de inteligencia y seguridad cibernética de cada una de las naciones miembros de Five Eyes emitieron un comunicado conjunto aviso de ciberseguridad (el aviso conjunto) con información técnica detallada sobre el malware Snake que permitirá a los profesionales de la ciberseguridad detectar y remediar las infecciones de malware Snake en sus redes.
El FBI y el Departamento de Estado de los EE. UU. también están brindando información adicional a las autoridades locales en los países donde se han ubicado las computadoras que han sido atacadas por el malware Snake.
Aunque Operation MEDUSA deshabilitó el malware Snake en las computadoras comprometidas, las víctimas deben tomar medidas adicionales para protegerse de daños mayores. La operación para deshabilitar Snake no parchó ninguna vulnerabilidad ni buscó ni eliminó ningún malware o herramienta de piratería adicional que los grupos de piratería hayan colocado en la víctima.
El Departamento de Justicia recomienda encarecidamente a los defensores de la red que revisen el Aviso conjunto para obtener más orientación sobre la detección y la aplicación de parches.
Además, como se señala en los documentos judiciales, Turla implementa con frecuencia un «registrador de teclas» con Snake que Turla puede usar para robar credenciales de autenticación de cuentas, como nombres de usuario y contraseñas, de usuarios legítimos. Las víctimas deben saber que Turla podría usar estas credenciales robadas para volver a acceder de manera fraudulenta a las computadoras comprometidas y otras cuentas.
El FBI ha notificado la operación autorizada por el tribunal a todos los propietarios u operadores de las computadoras a las que se accedió de forma remota de conformidad con la orden de allanamiento.
El Fiscal Federal Auxiliar Ian C. Richardson para el Distrito Este de Nueva York está procesando el caso, con la valiosa asistencia proporcionada por la Sección de Control de Exportaciones y Contrainteligencia de la División de Seguridad Nacional.
Los esfuerzos para interrumpir la red de malware Snake fueron liderados por la Oficina de Campo del FBI en Nueva York, la División Cibernética del FBI, la Oficina del Fiscal Federal para el Distrito Este de Nueva York y la Sección de Control de Exportaciones y Contrainteligencia de la División de Seguridad Nacional. La Sección de Delitos Informáticos y Propiedad Intelectual de la División Criminal brindó una valiosa asistencia.
Esos esfuerzos no hubieran tenido éxito sin la asociación de numerosas entidades del sector privado, incluidas aquellas víctimas que permitieron que el FBI monitoreara las comunicaciones de Snake en sus sistemas.