В ФБР разработали средство противодействия атакам Snake

После десятилетий наблюдения за хакерами, поддерживаемыми Кремлем, ФБР выявило слабые места и атаковало.

Представители ФБР во вторник подбросили сенсацию: потратив годы на мониторинг исключительно скрытого вредоносного ПО, которое одно из самых передовых хакерских подразделений Кремля установило на сотни компьютеров по всему миру, агенты выгрузили полезную нагрузку, которая привела к отключению вредоносного ПО.

Хакерская атака была нацелена на Snake - название разросшейся кросс-платформенной вредоносной программы, которая более двух десятилетий использовалась для шпионажа и саботажа. Snake разработан и управляется Turla, одним из самых сложных APT в мире. Группировка Turla считается в ФБР прокремлевской правительственной, подчинённой ФСБ.

Если бы хакерство, спонсируемое правительством, было бейсболом, то Turla была бы не просто командой Высшей лиги — это был бы постоянный претендент на плей-офф. Исследователи из нескольких охранных фирм в основном согласны с тем, что Turla стояла за взломами Министерства обороны США в 2008 году, а совсем недавно - Министерства иностранных дел Германии и вооруженных сил Франции (но это не точно))). Группа также была известна тем, что выпускала скрытое вредоносное ПО для Linux и использовала спутниковые интернет-соединения для обеспечения скрытности своих операций.

Одним из самых мощных инструментов в арсенале Turla является Snake, своего рода цифровой швейцарский армейский нож, который работает на Windows, macOS и Linux. Написанный на языке программирования C, Snake представляет собой высокомодульную серию элементов, построенных поверх массивной одноранговой сети, которая скрытно связывает один зараженный компьютер с другим. По словам ФБР, Snake на сегодняшний день распространился более чем в 50 странах и заразил компьютеры, принадлежащие правительствам стран-членов НАТО, американскому журналисту, который освещал Россию, и секторам, связанным с критической инфраструктурой, коммуникациями и образованием.

Краткий список возможностей Snake включает в себя бэкдор, который позволяет Turla устанавливать или удалять вредоносное ПО на зараженных компьютерах, отправлять команды и извлекать данные, представляющие интерес для Кремля. Профессионально разработанное программное обеспечение Snake использует несколько уровней пользовательских команд шифрования и отфильтрованных данных. По сети P2P зашифрованные команды и данные проходят через цепочку точек перехода, состоящую из других зараженных компьютеров, таким образом, что затрудняет обнаружение или отслеживание активности.

Происхождение Snake восходит по крайней мере к 2003 году, когда был создан предшественник под названием “Uroburos”, разновидность уробороса, который является древним символом, изображающим змею или дракона, поедающего собственный хвост. Изображение немецкого философа и теолога Якоба Беме в низком разрешении, которое приводится ниже, в какой-то момент послужило ключом к резервному бэкдору, который Turla установила на некоторые взломанные конечные точки.

Название Uroburos сохранялось в ранних версиях вредоносного ПО, даже после того, как оно было переименовано в Snake - например, в строке “Ur0bUr()sGoTyOu#.”. В 2014 году строка была заменена на “gLASs D1cK”. Другие строки ссылаются на внутренние шутки, личные интересы разработчиков и насмешки в адрес исследователей безопасности, которые анализируют или противодействуют их коду.

Несмотря на браваду своих разработчиков, Snake является одним из самых сложных вредоносных программ, когда-либо обнаруженных, заявило ФБР. Модульная конструкция, пользовательские уровни шифрования и высокое качество кодовой базы затруднили, если не сделали невозможным, обнаружение антивирусным программным обеспечением. Однако, продолжая следить за Snake, агенты ФБР постепенно выявили некоторые удивительные недостатки. Во-первых, существовал критический криптографический ключ с основной длиной всего 128 бит, что делало его уязвимым для факторинговых атак, раскрывающих секретный ключ. Этот слабый ключ использовался при обмене ключами Диффи-Хеллмана, что позволяло каждой зараженной машине иметь уникальный ключ при общении с другой машиной.

В другой ошибке разработчики Snake забыли очистить готовый код для новой версии programming artifacts. Сбой позволил получить важную новую информацию о том, как работала вредоносная программа, поскольку она предоставляла имена функций, строки открытым текстом и комментарии разработчика. Некоторые из не урезанных названий функций и команд показаны на изображении ниже:

Скриншот, показывающий названия функций, найденных в программе Turla P2P. Слово "змея" встречается несколько раз.
В конечном итоге следователи обнаружили, что индивидуальный дизайн HTTP, используемый Snake для обслуживания сеанса, позволял вредоносной программе обрабатывать несколько HTTP-пакетов как часть одного сеанса, зашифрованного слабым ключом. Это открытие позволило следователям получить данные отпечатков пальцев, отправленные с одного компьютера, зараженного Snake, на другой.

“Уникальная реализация HTTP в Turla работает как своего рода подпись, при этом 8-байтовый компонент метаданных пакета Snake-HTTP увеличивается предсказуемым образом”, - написал специальный агент ФБР Тейлор Форри в письменном показании под присягой, поданном в поддержку запроса на выдачу утвержденного судом ордера на обыск. “Соответственно, наблюдая всего за двумя или тремя пакетами HTTP, ФБР научилось идентифицировать компьютеры, которые обмениваются данными с использованием Snake-HTTP от Turla, и может сделать вывод из этого поведения, что имплантаты Snake на двух компьютерах аутентифицировались как вредоносное ПО Snake”.

Используя знания, накопленные за эти годы, агенты ФБР в конечном итоге разработали Perseus, приложение, которое могло определять, когда две машины обменивались данными друг с другом, используя пользовательский HTTP Snake. Perseus работает, имитируя начало протокола аутентификации сеанса Snake, чтобы “спровоцировать предполагаемый имплантат Snake на другом компьютере для предоставления ответа, уникального для сетевых коммуникаций Snake”, - объяснил Форри. Обмен похож на то, как один компьютер отправляет “ping” на другой компьютер для проверки сетевого подключения.

Сеансы Snake
ФБР продолжило создавать функции, которые позволили Perseus нейтрализовать себя. Как писал Форри:

Окружной судья США Шерил Л. Поллак из Восточного округа Нью-Йорка одобрила ордер на обыск, который дал ФБР разрешение на отправку команд Perseus на определенный набор IP-адресов, включенных в заявку.

Судебные документы предоставляют интригующий, но в конечном счете неполный отчет о том, как сработала контратака против Turla. В совместном консультативном заключении по кибербезопасности, выпущенном правоохранительными органами по всему миру, содержится несколько дополнительных деталей. В консультативном заключении говорится:

Ошибка Turla - не первый случай, когда хакерская организация, поддерживаемая национальным государством, терпит серьезную неудачу в результате небрежного надзора или отсутствия внимания к деталям. В 2010 году агрессивный компьютерный червь, известный как Stuxnet, заразил тысячи компьютеров и запустил длящийся годами розыгрыш. Оказалось, что это работа АНБ и его коллег из Израиля. Предполагалось, что оно незамеченным проникнет на иранский ядерный объект в Натанзе, выведет из строя урановые центрифуги и тихо исчезнет. Неспособность Stuxnet быть предназначенной для хирургического контроля полезной нагрузкой является напоминанием о том, насколько плохо все может обернуться, даже для APT-приложений для национальных государств.

10.05.2023
https://arstechnica.com/information...in-jewel-and-one-of-worlds-most-skilled-apts/
перевод: яндекс-переводчик​