Operatie Medusa: de FBI heeft het werk van een gigantische Russische spion ontdekt – en gebruikt het om binnen te dringen

Operatie Medusa De FBI ontdekt een gigantisch Russisch spionagebedrijf – en gebruikt het om binnen te dringen

Het is al een decennia oud proces: Russische malware bespioneert sinds minstens 2004 doelen in meer dan 50 landen. Nu is het uitgeschakeld. Het Federal Bureau of Investigation, beter bekend onder het acroniem de FBI, slaagde erin de controle over het programma over te nemen en het te misleiden tot zelfvernietiging.

Dat blijkt uit een gedetailleerd rapport van het Amerikaanse ministerie van Justitie. Het programma, genaamd “Snake”, is “Ruslands meest geavanceerde cyberspionagetool”. De verantwoordelijke groep Turla wordt toegewezen aan de opvolger van de FSB. De Amerikaanse procureur-generaal Merrick Garland legde uit dat de software al bijna twee decennia wordt gebruikt om doelen in de VS en andere NAVO-landen te bespioneren.

Zeer geavanceerde aanval

De aanpak van de hackers was zeer professioneel, getuige een gedetailleerde analyse van de software. De “adder” liep door een netwerk van geïnfecteerde machines over de hele wereld. Dit verhulde niet alleen de bron van de aanvallen, maar maakte het ook moeilijker om de aanvallen tegen te gaan. Het programma is regelmatig herzien om detectie moeilijker te maken en te upgraden met nieuwe mogelijkheden. De doelwitten waren militaire eenheden en bedrijven, maar ook journalisten en particulieren.

Eenmaal geïnstalleerd, bleef de “slang” volgens de FBI jarenlang onopgemerkt. Volgens de autoriteit zijn er gevallen bekend waarin getroffenen probeerden de software te verwijderen en deze toch actief bleef. Afhankelijk van het doel hebben hackers verschillende modules kunnen laden, bijvoorbeeld om documenten te stelen en deze via het netwerk door te sturen naar geldschieters.

Operatie Medusa

De FBI en aanverwante agentschappen, codenaam Medusa, lanceerden in 2015 een tegenoperatie. Dankzij nauwgezet werk slaagden Amerikaanse hackers erin om 19 geïnfecteerde computers in de Verenigde Staten te identificeren. Ze bestudeerden het programma een aantal jaren. Tot ze er uiteindelijk in slaagden een doorbraak te bewerkstelligen – en de encryptie-malware te kraken. Plotseling konden beheerders meelezen met de “slang” – en volgen hoe en waar de aanvallers toesloegen, wat ze stalen en waar de gegevens uiteindelijk naar toe werden gestuurd.

Bovenal stelde deze hack hen in staat om een ​​tegenaanval te lanceren: FBI-experts ontwikkelden een programma genaamd “Perseus” dat profiteerde van de sterke punten van “Snake” – en infiltreerden in het programma. Nadat de Amerikaanse federale politie speciale toestemming had gekregen van het ministerie van Justitie om buiten hun jurisdictie te opereren, werd de tegenaanval gelanceerd: met “Perseus” namen de agenten delen van het “Snake” -netwerk in beslag. Ze zorgden ervoor dat het programma belangrijke delen van de code wegliet. Autoriteiten bevestigden dat eerder geïnfecteerde computers niet hoefden te vrezen voor defecten als gevolg van deze uitschakeling.

Maar het ministerie van Justitie waarschuwt dat het risico niet volledig is afgewend. “Het proces van het sluiten van Snake repareert geen van de uitgebuite kwetsbaarheden en verwijdert ook geen extra geïnstalleerde malware”, aldus de verklaring. Bedrijven en autoriteiten die als getroffen zijn geïdentificeerd, zullen dus afzonderlijk worden gerapporteerd, zodat ze eventuele verdere problemen kunnen oplossen. Het idee is niet helemaal vergezocht: in het verleden heeft de FBI dankzij een speciale pas al ongevraagd honderden bedrijfsnetwerken via externe toegang overgenomen en beveiligd tegen aanvallen (lees hier meer).

bronnen: Verklaring van het Amerikaanse ministerie van JustitieEn Dreigingsanalyse