Американското Федерално бюро за разследване (ФБР) разби зловреден софтуер за кибершпионаж, наричан Snake, чиито следи водят към руските тайни служби. Според данните чрез него години наред Русия е шпионирала десетки държави, включително съюзници от НАТО. Какво се знае до момента?
В продължение на повече от десетилетие един уникален зловреден компютърен код се рови в най-дълбоките кътчета на интернет сървърите в повече от 50 държави, като тайно събира данни и записи дори на това, което човек може да пише на клавиатурата. Важната информация е била извличана и тайно изпращана обратно към създателите на кода чрез мрежа от други заразени компютри, скривайки следите си.
Наричан с различни имена - Snake (Змия), Uroburos, Venomous Bear (Отровна мечка) - зловредният софтуер е заподозрян за първи път при хакерско проникване в данните на Министерството на външните работи на Германия през 2017 г. Съобщава се, че освен това компютрите на НАТО са били компрометирани. Твърди се още, че е бил атакуван личният компютър на журналист, който е работил за американска новинарска организация и е отразявал дейността на руското правителство.
Миналата седмица властите в САЩ, Великобритания, Канада и две други държави обявиха, че на практика са изключили зловредния софтуер, прекъсвайки работата на мощен инструмент за наблюдение, който според тях е бил разработен от Център 16 - авангардно киберзвено на главната руска разузнавателна агенция - Федералната служба за сигурност (ФСБ).
Snake е "най-сложният инструмент за кибершпионаж, разработен и използван от Център 16 на ФСБ за дългосрочно събиране на разузнавателна информация за чувствителни цели", казаха от киберагенцията на американското правителство.
Разработчиците на зловредния софтуер "са били наистина добри", казва Пол Расканерес, изследовател в областта на ИТ сигурността, който е сред първите, идентифицирали Snake през 2014 г.
"Дизайнът и архитектурата на зловредния софтуер бяха изключително усъвършенствани, със заобикаляния на сигурността, които не бяха документирани към този момент... Това беше сериозен код, разработен от сериозен екип", добавя той.
Адам Майерс, ръководител на отдела за разузнаване в американската компания за киберсигурност CrowdStrike, казва, че решението на американското правителство и партньорските агенции в другите държави да публикуват толкова много информация за звеното на ФСБ, както и тайни подробности за програмирането зад зловредния софтуер, е имало за цел да изпрати послание.
"Това означава, че правителството на САЩ заема по-активна позиция по отношение на тези неща, които съществуват от повече от десетилетие", казва Майерс. По думите му "това е сигнал към руското правителство, към руските разузнавателни служби, с който искаме да кажем: "Виждаме ви и знаем какво правите, и , ако ни е изгодно, ще ви попречим в избрано от нас време и място".
В разсекретени документи Министерството на правосъдието съобщи, че шпионската кампания е била "много последователна", а хакерите са откраднали поверителни документи от страни от НАТО.
ФСБ не коментира обвиненията.
"Вътрешни шеги, лични интереси и подигравки"
Разузнавателните служби и службите за сигурност на Русия имат припокриващи се, а понякога и конкуриращи се кибероперации. Някои от най-разрушителните известни кибероръжия - например Sandworm и NotPetya - са разработени от руската служба за военно разузнаване, известна като ГРУ. Тя, както и Службата за външно разузнаване (СВР), е обвинена в хакерски атаки срещу политически кампании в САЩ през 2016 г.
ФСБ има две известни киберзвена. Първото, Център 18, или Център за информационна сигурност, беше разтърсено от голям скандал за държавна измяна през 2019 г.
Другото е Център 16 - официално известно като Център за радиоелектронно разузнаване чрез средства за комуникация, или военно подразделение 71330. То контролира възможностите на ФСБ за сигнално разузнаване, включително прихващане на комуникации, дешифриране и обработка на данни.
Според писмено изявление на ФБР, публикувано на 9 май, Snake е разработен за първи път през 2003 или 2004 г. от Център 16, а ранните версии са включвали изображение на древен символ, наречен Uroboros - изписван също като Ouroboros. Той изобразява дракон или змия, която яде собствената си опашка. ФБР каза, че идентифицира звеното на ФСБ с името Тurla.
"Snake е основен компонент на операциите на това звено почти толкова дълго, колкото Център 16 е част от ФСБ", се казва още в изявлението.
"По отношение на общата постоянна дейност на този екип/група/отделение те вероятно са били по-активни и професионални, за разлика от други операции, използвани от [руската] армия например", коментира Майкъл Санди, изследовател от Fox-IT - холандска компания за цифрова криминалистика.
"Това е супер сложен зловреден софтуер", допълва Мейърс от CrowdStrike.
Програмистите от ФСБ, които са разработили ранните версии, често са използвали "вътрешни шеги, лични интереси и подигравки, насочени към изследователите в областта на сигурността" - обичайна практика сред програмисти. Те са останали разпознаваеми с развитието на зловредния софтуер, каза ФБР, "което е помогнало на правителството на САЩ да свърже зловредния софтуер Snake с ФСБ".
Разследващите съобщиха още, че са успели да засекат и отдалечено място на ФСБ в град Рязан, югоизточно от Москва, където програмистите вършат голяма част от работата си.
Журналистически мишени
Американски служители казаха, че от близо две десетилетия следят Turla и свързаните със Snake разновидности. Междувременно британски служители коментираха, че Център 16 е "наблюдаван да провежда кибероперации поне от 2010 година".
От 2015 г. нататък, според ФБР, са наблюдавани данни, откраднати от Snake, в това число такива от външното министерство на "държава членка на НАТО". Подобно наблюдение се е извършвало между 2017 и 2020 г., като в него е участвало правителството на "друга държава членка на НАТО".
Нито една от двете държави не беше назована от ФБР или другите агенции за сигурност, които са си партнирали. Някъде от около 2015 г. обаче Германия е засегната от продължил няколко месеца масиран хакерски пробив, който е насочен към парламента, външното министерство, енергийната инфраструктура.
През 2018 г. вътрешната разузнавателна агенция на Германия - BfV, нарече хакерите "изключително опасни".
През 2019 г. американските и британските агенции за сигурност издадоха документ, в който предупреждават за хакерска кампания, ръководена от Turla, която е била насочена към компютри в най-малко 35 държави, главно в Близкия изток.
ФБР също така каза, че е установило, че хакерите от ФСБ "са използвали Snake, за да се насочат към личния компютър на журналист от американска медийна компания, който е отразявал дейността на правителството на Руската федерация".
Нито журналистът, нито новинарската организация са идентифицирани.
Британското разузнаване също така каза, че Център 16 е провеждал хакерски и други кибероперации, насочени срещу руски дисиденти, политически опоненти и руски граждани.
ФБР казва, че служителите са забавили уведомяването на хората с компрометирани компютри, за да могат експертите да координират усилията за изключване или прекъсване на работата на Snake, без да се намесва ФСБ. Това се е случило при операция, наречена "Медуза".
"Ако Тurla беше разбрала за операция "Медуза" преди успешното ѝ изпълнение, можеше да използва Snake на компютрите на въпросните лица и други компрометирани системи по света, за да наблюдава изпълнението на операцията, за да научи как ФБР и други правителства са успели да деактивират зловредния софтуер, и така да укрепят защитата му", пише агентът на ФБР Тейлър Фори.
Връзка с Хърватия
Министерството на правосъдието на САЩ се е насочвало към Център 16 и преди: в обвинителен акт от 2021 г., разсекретен през март 2022 г., обвинява трима служители на ФСБ в използването на spear-phishing атаки. При този вид атака се изпращат фалшиви имейли, които подлъгват получателя да кликне върху връзка със зловреден софтуер. Те са били насочени към повече от 3300 потребители в над 500 американски и международни компании.
Били са насочени и към американски правителствени агенции като Комисията за ядрено регулиране, съобщават американските власти.
Отделен обвинителен акт има и срещу програмист, който е работил за институт към руското Министерство на отбраната. Твърди се, че този човек - Евгений Гладких, е използвал изключително мощен зловреден софтуер, известен като Triton, за да хакне нефтохимически завод през 2017 г.
Оперативни работници на Център 16 са открити и на други места извън Русия. Един от тях - Алексей Иваненко, е работил под дипломатическо прикритие в Хърватия до април 2022 г., когато хърватските власти обявиха, че го експулсират заедно с още 23-ма дипломати и помощен персонал.
Според изтекла база данни с руски правителствени документи, прегледана от RFE/RL, преди да бъде изпратен в Хърватия, Иваненко е работил като "инженер" за Център 16.
Киберекспертите са разделени по въпроса дали разкриването на Snake ще нанесе трайни щети на дейността на Център 16.
"Малко вероятно е това наистина да доведе до трайно нарушаване на операцията по събиране на разузнавателна информация в дългосрочен план, но вероятно е малко неприятно за руснаците в краткосрочен план, тъй като те губят част от достъпа и трябва да го възстановят", каза Санди от Fox-IT. - "Мисля, че това е по-скоро отвличане на вниманието, отколкото нещо друго, и просто се прави, за да се направи нещо, а не нищо, ако ме разбирате."
При липсата на Snake, хакерите на Център 16 най-вероятно разполагат с други киберинструменти, които са разработили и биха могли да използват.
"Не искам да отнемам от цялостната стойност на това усилие на правителството на САЩ", каза Мейърс, но добави, че ФСБ има "други инструменти". По думите му руските служби разполагат с цял арсенал от зловреден софтуер и Snake е един от тях.
Пол Расканерес е на друго мнение - според него разкриването и изключването на зловредния софтуер означава, че руските служби са загубили достъп до системите, които ги интересуват, а подновяването му "струва много".
По думите му процесът на застрашаване на чувствителна цел отнема седмици, дори месеци работа.