Ссылки для упрощенного доступа

"Персей" против ФСБ. США обезвредили сложнейший российский вирус


Министерство юстиции США 9 мая объявило, что американским специалистам по кибербезопасности удалось нейтрализовать вирус Snake ("Змея"), с помощью которого российские спецслужбы с 2003 года похищали чувствительные документы у сотен пользователей компьютеров, работавших в правительственных структурах стран НАТО, а также у журналистов и сотрудников посольств. Создание и применение этого трояна, обо всех функциях которого не знали даже использовавшие его хакеры, связывают с 16-м центром ФСБ России, бывший сотрудник которого оказался в числе дипломатов, высланных из стран ЕС после начала российского вторжения в Украину.

Примечание: уже после публикации в этот текст был добавлен комментарий эксперта по IT-безопасности Пола Раскогнереса.

Вирус-ветеран

Как следует из опубликованных американскими властями документов, Snake был создан группой хакеров ФСБ под названием "Турла", сотрудники которой работали в Рязани (вычислить их удалось в том числе с помощью отслеживания времени их активности). С помощью вредоносной программы спецслужбе удалось инфицировать компьютеры в 50 странах, в том числе в самой России. Утверждается также, что ФСБ удалось получить доступ к секретным документам и дипломатической переписке по крайней мере одного государства-члена НАТО, но объектом ее внимания помимо этого были образовательные и государственные учреждения, СМИ, финансовые организации и объекты критической инфраструктуры.

Западные спецслужбы вели наблюдение за Snake в течение двух десятилетий, предупреждения о ней регулярно публиковались специалистами по кибербезопасности, но обезвредить вирус полностью удалось только сейчас. Как объясняют специалисты, программа Snake постоянно совершенствовалась своими создателями, что препятствовало ее блокировке. В итоге для нейтрализации вируса в ФБР создали специальный инструмент под кодовым названием "Персей", который в рамках операции "Медуза" через зараженные компьютеры начал выдавать команды, заставляющие вредоносное ПО уничтожать собственные жизненно важные компоненты – фактически повторив сюжет древнегреческого мифа о превращавшей людей в камень своим видом Медузе Горгоне, которой Персей смог отрубить голову со змеями вместо волос, воспользовавшись щитом-зеркалом.

Проведенная американскими спецслужбами операция, в результате которой им удалось взломать сам вирус и заставить его уничтожить самого себя, редка, но не уникальна. Этот метод, для которого по американским законам требуется специальная санкция суда на подключение ФБР к зараженным компьютерам, применялся в 2021 году для нейтрализации вируса Cyclops Blink. Разработку Cyclops Blink связывали с группировкой Sandworm. Как неоднократно сообщали правительства США, Германии, Франции и других стран, Sandworm является подразделением ГРУ, атаковавшим в числе прочего энергосистему Украины. Кроме того, в 2021 году таким же методом была пресечена деятельность хакерской группы Hafnium, связанной с правительством Китая.

Агентство по кибербезопасности и защите инфраструктуры США в понедельник также выпустило подробную инструкцию, в которой описываются методы работы вируса Snake и способы его нейтрализации.

Как говорится в опубликованном Министерством юстиции США аффидевите, составленном сотрудником ФБР для поддержки обращения ведомства в суд за разрешением на операцию по нейтрализации вируса, Snake был обнаружен на компьютере как минимум одного журналиста американского СМИ, писавшего о деятельности российских властей. Имя этого журналиста и СМИ не называются.

В аффидевите отмечается, что вирус не был предназначен для массового заражения и использовался выборочно против целей и жертв, которых ФСБ считало самыми важными, – это позволяло ему дольше оставаться незамеченным. Обо всех технических возможностях Snake, говорится в документе, не знали даже некоторые из работавших с ним сотрудников российской спецслужбы. В числе этих возможностей был и глубоко замаскированный кейлоггер, отслеживавший все нажатия клавиш на компьютере жертвы и позволявший похищать ее пароли.

16-й центр ФСБ и высланные из ЕС российские дипломаты

Министерство юстиции США утверждает, что вирус Snake был разработан и использовался сотрудниками 16-го центра ФСБ (войсковая часть 71330). Это подтверждается и открытыми источниками, например, судебными решениями. Одно из них было принято совсем недавно: 26 апреля Арбитражный суд Москвы признал законным изъятие "для государственных нужд" здания по адресу 2-й Волконский переулок, дом 3. Владелица помещения, частный предприниматель, оспаривала стоимость компенсации за изъятое имущество, которая явно была ниже рыночной: 11,7 миллиона рублей за 90 квадратных метров в центре российской столицы. Понять, почему "хакеры ФСБ" были так заинтересованы в этой недвижимости, несложно: в этом же квартале, как следует из открытых данных, располагается главный офис 16-го центра.

16-й центр хорошо известен специалистам по кибербезопасности: 24 марта 2022 года, спустя месяц после начала полномасштабной войны в Украине, Министерство юстиции США предъявило обвинения четырем россиянам, которых сочло виновными в кибератаках на объекты энергетической инфраструктуры в Соединенных Штатах и в других странах. В их числе были трое хакеров, работавших, как утверждалось, в 16-м центре и входивших в группировки "Стрекоза" (Dragonfly), "Медведь-берсерк" (Berserk Bear), "Крадущийся йети" (Crouching Yeti) и другие. В 2012-2014 годах эти люди внедрили в 17 тысяч компьютеров предприятий энергетического сектора вирус-троян Havex, который позволил им получить доступ к системам диспетчерского управления и промышленного контроля, а в 2017-м, уже после того, как вирус был обнаружен, проникли с помощью другого вредоносного ПО в сеть атомной электростанции Wolf Creek в Канзасе.

Предшественником 16-го центра в советское время было 16-е управление КГБ СССР, занимавшееся радиоперехватом и электронной разведкой. Уже после распада Советского Союза 16-й центр был выделен из состава Федерального агентства правительственной связи и информации при президенте РФ (ФАПСИ).

В марте 2023 года Радио Свобода выяснило с помощью открытых источников, что сотрудником 16-го центра ФСБ был Алексей Александрович Иваненко. Сейчас он занимает пост первого секретаря посольства России в Сербии, а ранее, после начала полномасштабного российского вторжения в Украину, был выслан из Хорватии, где работал вторым секретарем посольства. После начала войны европейские страны выслали или внесли в "черные списки" сотни российских дипломатов, прямо обвинив некоторых из них в шпионаже. Часть высланных все равно оказалась в Европе: они были устроены на работу в посольство в Сербии, одной из немногих европейских стран, не ставших вводить санкции в отношении России.

Интересно, что и вирусы хакерской группировки "Турла", которую Минюст США связывает с 16-м центром ФСБ, использовались в том числе против "посольств и консульств в странах постсоветского пространства", – об этом говорилось в статьях специализирующегося на кибербезопасности сайта SecurityLab и сообщениях "Лаборатории Касперского" еще в 2014 году. Тогда предметом беспокойства было вредоносное ПО под двойным названием Snake/Uroburos. Для маскировки своей деятельности "Турла" использовала спутниковую интернет-связь. В середине апреля центр "Досье" опубликовал свое расследование о высланных из ЕС российских дипломатах, предположив, что многие из них занимались в числе прочего обслуживанием антенн (включая спутниковые) на крышах российских посольств в Европе – правда, по мнению авторов материала, основной целью этого оборудования был перехват разговоров.

Независимый специалист и исследователь вопросов интернет-безопасности Пол Раскагнерес впервые познакомился с вирусом Snake еще в 2014 году. Он отмечает, что по меркам того времени это действительно был один из самых продвинутых инструментов в своем роде.

"Его авторы были действительно хороши. В то время, когда я работал над Snake и Uroburos, это были действительно продвинутые программы. Мы должны помнить, что это было 10 лет назад. Дизайн и архитектура этого ПО были чрезвычайно сложными, содержали в себе инструменты для обхода систем обеспечения безопасности, причем тогда эти инструменты даже не были задокументированы. Это был серьезный код, разработанный серьезной командой".

По словам Раскагнереса, у ФБР действительно есть возможность выполнять операции, подобные той, которая заставила Snake "самоликвидироваться". Вместе с этим он отмечает, что для ФСБ потеря Snake будет очень чувствительной.

"Это окажет на них большое влияние. Потеря доступа к зараженным системам стоит дорого. Им нужно повторно заразить цели, развернуть новое вредоносное ПО. Процесс компрометирования конфиденциальной цели занимает недели или даже месяцы работы".

Заложники Минобороны
пожалуйста, подождите

No media source currently available

0:00 0:25:16 0:00
XS
SM
MD
LG