竊取機(jī)密近20年,F(xiàn)BI破解俄羅斯惡意軟件Snake
美國(guó)司法部當(dāng)?shù)貢r(shí)間5月9日宣布,由FBI進(jìn)行的美杜莎聯(lián)合行動(dòng)已經(jīng)成功阻止了來(lái)自俄羅斯聯(lián)邦安全局 (FSB) 的惡意軟件Snake,該軟件被指竊取北大西洋公約組織 (NATO) 成員國(guó)政府的機(jī)密文件長(zhǎng)達(dá)近20年之久。
Snake是由受俄羅斯政府支持的黑客組織Turla(又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug)研發(fā)。根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布的一份咨詢(xún)報(bào)告,Snake 被設(shè)計(jì)為一種秘密工具,用于對(duì)高優(yōu)先級(jí)目標(biāo)進(jìn)行長(zhǎng)期情報(bào)收集,并針對(duì)目標(biāo)創(chuàng)建點(diǎn)對(duì)點(diǎn) (P2P) 全球受感染系統(tǒng)網(wǎng)絡(luò),P2P 網(wǎng)絡(luò)中的多個(gè)系統(tǒng)充當(dāng)中繼節(jié)點(diǎn),將偽裝的操作流量與Snake惡意軟件相連接,從而使活動(dòng)難以檢測(cè)。
因此,美國(guó)司法部表示,在竊取數(shù)據(jù)后,Snake能夠通過(guò)遍布美國(guó)及其他地區(qū)的受感染機(jī)器網(wǎng)絡(luò)泄露敏感數(shù)據(jù),以加大檢測(cè)難度。
在此次針對(duì)Snake的行動(dòng)中,F(xiàn)BII開(kāi)發(fā)了一種名為 Perseus 的工具,能夠讓Snake覆蓋其自身重要組件,在不影響主機(jī)或計(jì)算機(jī)上的合法應(yīng)用程序的情況下自行禁用。
但禁用 Snake 的沒(méi)有修補(bǔ)任何漏洞,也沒(méi)有搜索或刪除黑客組織可能放置在系統(tǒng)上的其他惡意軟件或工具,司法部建議采取更多額外措施來(lái)保護(hù)系統(tǒng)安全。
老牌黑客組織Turla
作為強(qiáng)大的跨平臺(tái)黑客組織,Turla的一系列策略和工具幾乎能夠覆蓋Windows、macOS、Linux 和 Android四大主流系統(tǒng),這與其自身存在的時(shí)間之長(zhǎng)、技術(shù)沉淀之多不無(wú)關(guān)系。
谷歌云 Mandiant 情報(bào)分析主管 John Hultquist 表示,Turla是他們所追蹤的存在時(shí)間最長(zhǎng)的黑客組織之一,最早可以追溯到上世紀(jì)90年代針對(duì)美國(guó)及政府機(jī)構(gòu)的攻擊,卡巴斯基也曾在2017年發(fā)現(xiàn)Turla悄然回收了在90 年代針對(duì)美國(guó)的網(wǎng)絡(luò)攻擊中使用的代碼。今年, Mandiant也觀察到 Turla 使用已有 10 年歷史的惡意軟件 Andromeda 對(duì)烏克蘭進(jìn)行監(jiān)視。美國(guó)司法部當(dāng)?shù)貢r(shí)間5月9日宣布,由FBI進(jìn)行的美杜莎聯(lián)合行動(dòng)已經(jīng)成功阻止了來(lái)自俄羅斯聯(lián)邦安全局 (FSB) 的惡意軟件Snake,該軟件被指竊取北大西洋公約組織 (NATO) 成員國(guó)政府的機(jī)密文件長(zhǎng)達(dá)近20年之久。
Snake是由受俄羅斯政府支持的黑客組織Turla(又名 Iron Hunter、Secret Blizzard、SUMMIT、Uroburos、Venomous Bear 和 Waterbug)研發(fā)。根據(jù)美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布的一份咨詢(xún)報(bào)告,Snake 被設(shè)計(jì)為一種秘密工具,用于對(duì)高優(yōu)先級(jí)目標(biāo)進(jìn)行長(zhǎng)期情報(bào)收集,并針對(duì)目標(biāo)創(chuàng)建點(diǎn)對(duì)點(diǎn) (P2P) 全球受感染系統(tǒng)網(wǎng)絡(luò),P2P 網(wǎng)絡(luò)中的多個(gè)系統(tǒng)充當(dāng)中繼節(jié)點(diǎn),將偽裝的操作流量與Snake惡意軟件相連接,從而使活動(dòng)難以檢測(cè)。
因此,美國(guó)司法部表示,在竊取數(shù)據(jù)后,Snake能夠通過(guò)遍布美國(guó)及其他地區(qū)的受感染機(jī)器網(wǎng)絡(luò)泄露敏感數(shù)據(jù),以加大檢測(cè)難度。
在此次針對(duì)Snake的行動(dòng)中,F(xiàn)BII開(kāi)發(fā)了一種名為 Perseus 的工具,能夠讓Snake覆蓋其自身重要組件,在不影響主機(jī)或計(jì)算機(jī)上的合法應(yīng)用程序的情況下自行禁用。
但禁用 Snake 的沒(méi)有修補(bǔ)任何漏洞,也沒(méi)有搜索或刪除黑客組織可能放置在系統(tǒng)上的其他惡意軟件或工具,司法部建議采取更多額外措施來(lái)保護(hù)系統(tǒng)安全。
老牌黑客組織Turla
作為強(qiáng)大的跨平臺(tái)黑客組織,Turla的一系列策略和工具幾乎能夠覆蓋Windows、macOS、Linux 和 Android四大主流系統(tǒng),這與其自身存在的時(shí)間之長(zhǎng)、技術(shù)沉淀之多不無(wú)關(guān)系。
谷歌云 Mandiant 情報(bào)分析主管 John Hultquist 表示,Turla是他們所追蹤的存在時(shí)間最長(zhǎng)的黑客組織之一,最早可以追溯到上世紀(jì)90年代針對(duì)美國(guó)及政府機(jī)構(gòu)的攻擊,卡巴斯基也曾在2017年發(fā)現(xiàn)Turla悄然回收了在90 年代針對(duì)美國(guó)的網(wǎng)絡(luò)攻擊中使用的代碼。今年, Mandiant也觀察到 Turla 使用已有 10 年歷史的惡意軟件 Andromeda 對(duì)烏克蘭進(jìn)行監(jiān)視。
