五眼联盟破坏了FSB武器库中最复杂的网络间谍工具

美国司法部宣布完成法院授权的 MEDUSA 行动，以破坏受复杂恶意软件（称为“Snake”（又名“Uroburos”））危害的全球点对点计算机网络。

美国政府将其归因于一个单位在俄罗斯联邦联邦安全局 (FSB) 的第 16 中心内。

近 20 年来，这个在法庭文件中被称为“Turla”的单位使用 Snake 恶意软件的版本从至少 50 个国家的数百个计算机系统中窃取敏感文件，这些计算机系统属于北大西洋公约组织 (NATO) ) 成员国政府、记者和俄罗斯联邦感兴趣的其他目标。

在窃取这些文件后，Turla 通过美国和世界各地不知情的受 Snake 攻击的计算机组成的秘密网络将它们泄露出去。

数十年来，Turla 一直使用 Snake 恶意软件

近 20 年来，美国政府一直在调查 Snake 和与 Snake 相关的恶意软件工具，并监视分配给 Turla 的 FSB 官员使用来自俄罗斯梁赞的已知 FSB 设施的 Snake 进行日常操作。

尽管 Snake 自成立以来一直是多个网络安全行业报告的主题，但 Turla 应用了多次升级和修订，并有选择地部署它，所有这些都是为了确保 Snake 仍然是 Turla 最复杂的长期网络间谍恶意软件植入物。

除非受到破坏，否则 Snake 植入程序会无限期地存在于受感染的计算机系统中，通常不会被机器的所有者或授权用户检测到。

FBI 已经观察到 Snake 在特定计算机上持续存在，尽管受害者努力修复漏洞。

Snake 为其 Turla 操作员提供了远程部署选定恶意软件工具的能力，以扩展 Snake 的功能，以识别和窃取存储在特定机器上的敏感信息和文档。

最重要的是，全球收集的受蛇攻击的计算机充当了一个隐蔽的点对点网络，它利用定制的通信协议来阻碍西方和其他信号情报服务的检测、监控和收集工作。

Turla 使用 Snake 网络将从目标系统泄露的数据通过分散在世界各地的众多中继节点路由回俄罗斯的 Turla 运营商。

联邦调查局、其在美国情报界的合作伙伴以及外国盟国政府已监测到 FSB 使用 Snake 网络从敏感计算机系统（包括北约成员国政府运营的系统）中窃取数据，通过路由传输这些被盗数据是通过美国不知情的被 Snake 入侵的计算机窃取的。

如何检测和修复感染

多年来，网络安全公司一直在记录 Snake 的演变和 Turla 的活动。

Snake 最初是在Windows上运行的恶意软件，然后被修改为在Linux和macOS上运行。Turla还使用了其他恶意软件和各种新颖的策略。

通过对 Snake 恶意软件和 Snake 网络的分析，FBI 开发了解密和解码 Snake 通信的能力。

利用从监控 Snake 网络和分析 Snake 恶意软件中收集到的信息，FBI 开发了一个名为 PERSEUS 的工具，它与特定计算机上的 Snake 恶意软件植入程序建立通信会话，并发出命令使 Snake 植入程序自行禁用而不影响主机或计算机上的合法应用程序。

通过使用 PERSEUS，美杜莎行动在受感染的计算机上禁用了 Turla 的 Snake 恶意软件。

在美国境内，该行动由联邦调查局在八台计算机上执行。

对于美国境外的受害者，FBI 正在与地方当局合作，以提供有关当局所在国家地区内的 Snake 感染通知和补救指导。

虽然该操作在受感染的计算机上禁用了 Snake 恶意软件，但受害者应该采取额外的措施来保护自己免受进一步的伤害。

禁用 Snake 的操作没有修补任何漏洞，也没有搜索或删除黑客组织可能放置在受害者身上的任何其他恶意软件或黑客工具。

此外，正如法庭文件中所述，Turla 经常使用 Snake 部署“键盘记录器”，Turla 可以使用它来窃取合法用户的帐户身份验证凭据，例如用户名和密码。

受害者应该知道 Turla 可以使用这些被盗的凭据以欺诈方式重新访问受感染的计算机和其他帐户。

美国联邦调查局、国家安全局 (NSA)、网络安全和基础设施安全局 (CISA)、美国网络司令部网络国家任务部队以及来自五眼联盟每个成员国的其他六个情报和网络安全机构发布了联合网络安全咨询包含有关 Snake 恶意软件的详细技术信息，使网络安全专业人员能够检测和修复其网络上的 Snake 恶意软件感染。

这些机构还认为 Snake 是 FSB 武器库中最复杂的网络间谍工具，

Snake 采用特殊手段在其主机组件和网络通信中实现罕见的隐身水平，其内部技术架构允许轻松合并新组件或替换组件，促进在不同主机操作上运行的 Snake 实例的开发和互操作性系统。

Snake 展示了仔细的软件工程设计和实施，考虑到其复杂性，植入程序包含的错误少得惊人。