Die US-Behörden haben Malware deaktiviert, die angeblich von der russischen Spionagebehörde verwendet wurde, um seit zwei Jahrzehnten sensible Dokumente in Dutzenden von Ländern zu stehlen, einschließlich Regierungen von Nato-Mitgliedern.
Das US-Justizministerium sagte am Dienstag, die bösartige Software sei seit fast 20 Jahren von einer Einheit des russischen Bundessicherheitsdienstes eingesetzt worden, um Material von Hunderten von Computersystemen in mindestens 50 Ländern zu missbrauchen, die mit Journalisten und Nato-Mitgliedstaaten in Verbindung stehen.
„Russland hat ausgeklügelte Malware verwendet, um vertrauliche Informationen von unseren Verbündeten zu stehlen und sie durch ein Netzwerk infizierter Computer in den Vereinigten Staaten zu waschen, in einem zynischen Versuch, ihre Verbrechen zu verbergen“, sagte Breon Peace, US-Anwalt für den östlichen Bezirk von New York ein Statement.
Die Malware mit dem Namen „Snake“ bleibt das „ausgefeilteste langfristige Cyberspionage-Malware-Implantat“, das von der betreffenden FSB-Einheit namens Turla eingesetzt wird, sagte das DoJ.
„Turla ist ein russischer Cyberspionageakteur und eine der ältesten von uns verfolgten Eindringlingsgruppen, die in irgendeiner Form bereits in den 1990er Jahren existierte und sich auf die klassischen Ziele der Spionage konzentrierte – Regierung, Militär und den Verteidigungssektor“, sagte John Hultquist. Leiter von Mandiant Intelligence Analysis, das zu Google gehört.
Während einige von Turlas Arbeit zuvor in einer Handvoll Vorfällen, die bis in die frühen 2000er Jahre zurückreichen, aufgedeckt worden waren, „überwiegen diese Ereignisse durch eine Breite von Aktivitäten, die unbemerkt bleiben“, sagte er. „Turla konzentriert sich stark auf Betriebssicherheit und Tarnung, und zu diesem Zweck haben sie konsequent Innovationen eingeführt.“
Die Ansammlung infizierter Computer weltweit schuf ein „verstecktes Peer-to-Peer-Netzwerk“, das die Überwachung durch gegnerische Geheimdienste behinderte, heißt es in einer eidesstattlichen Erklärung eines FBI-Agenten. Das Netzwerk stärkte auch die Fähigkeit der Computer, große Datenmengen heimlich zu verschieben und untereinander zu kommunizieren. „Snake“ habe Geräte „auf unbestimmte Zeit“ kompromittiert, manchmal jahrelang, trotz der Bemühungen, die Malware zu bekämpfen, fügte der Agent hinzu.
Während seiner Untersuchung von „Snake“ entdeckte das FBI, dass Turla die Malware benutzte, um „vermutete“ interne UN- und Nato-Dokumente von einem Computer zu stehlen, der mit dem Außenministerium eines NATO-Mitgliedsstaates verbunden war, heißt es in der eidesstattlichen Erklärung .
Die FSB-Einheit verwendete die Software angeblich auch auf dem PC eines Journalisten, der für ein US-amerikanisches Medienunternehmen über die russische Regierung berichtet hatte.
Das FBI beschrieb eine komplexe Operation, um zunächst ein technisches Mittel zu testen, um den Einfluss, den „Snake“ auf einigen Computern in den USA hatte, zu unterbrechen und dies dann auf möglicherweise Tausende von Computern auszudehnen, die mit der Malware auf der ganzen Welt infiziert waren.
Mit dem Spitznamen Operation Medusa, der die wiederkehrende Verwendung eines Uroboros-Motivs – ein Bild einer Schlange, die ihren eigenen Schwanz frisst – durch die Programmierer des FSB aufgreift, scheint das FBI die Malware dazu gebracht zu haben, Anweisungen des FBI mit Anweisungen seiner Betreiber zu verwechseln oder von ähnlich infizierten Wirten, laut eidesstattlicher Erklärung.
Die Befehle, die über ein maßgeschneidertes FBI-Programm namens Perseus gesendet wurden – der in der griechischen Mythologie Medusa tötete – verursachten im Wesentlichen die Selbstzerstörung der Malware und sind in großem Maßstab leicht replizierbar.
Merrick Garland, US-Generalstaatsanwalt, sagte: „Wir werden unsere kollektive Verteidigung gegen die destabilisierenden Bemühungen des russischen Regimes, die Sicherheit der Vereinigten Staaten und unserer Verbündeten zu untergraben, weiter verstärken.“
Die Unterbrechung folgt mehreren koordinierten Aktionen von US-Behörden in mit Russland verbundene Spionage- und kriminelle Netzwerke, einschließlich der Verwendung komplexer Mathematik, um die Besitzer von Bitcoin-Geldbörsen aufzuspüren, die Ransomware-Zahlungen erhalten. Im Januar infiltrierten die Behörden eine Ransomware-Gruppe und stellten den Opfern ihre Entschlüsselungsschlüssel zur Verfügung.
Die russische Botschaft in den USA reagierte nicht sofort auf eine Bitte um Stellungnahme.