Американские спецслужбы утверждают, что смогли нейтрализовать шпионскую программу, связанную с ФСБ России. По версии ФБР, вредонос по имени Snake, разработанный в Рязани, 20 лет качал дипломатическую переписку и следил за журналистами.
О завершении операции под кодовым названием Medusa накануне сообщил Минюст США, а сегодня новость обсуждают все мировые СМИ.
Речь о ликвидации глобальной пиринговой сети компьютеров, зараженных программой Turla Snake. По данным ФБР, “шпиона” разрабатывал и внедрял 16-й центр ФСБ, а именно — управление в Рязани.
Расследование длилось 20 лет. За это время Snake “забрался” в сотни компьютерных систем как минимум в 50 странах мира.
“Шпион” мог внедряться с помощью фишинга или уязвимостей на сайтах компаний-целей, предлагая установить фальшивые версии раскрученных разработчиков, например Adobe Flash Player или Microsoft Security Essentials.
Обосновавшись, “змей” устанавливал на компьютер кейлогер, запоминающий действия пользователя — сочетание нажатых клавиш и движения мыши. Таким образом программа считывала учетные данные, имена пользователей и пароли.
О кейлогере Snake мы писали еще год назад. Тогда его “засекли” эксперты компании HP Wolf Security. Злоумышленники использовали PDF для передачи документов с вредоносными макросами. Обычно их доставляли письмом с темой "Remittance Invoice" — получателю полагаются какие-то выплаты. При открытии PDF Adobe Reader предлагал запустить DOCX-файл, зашитый внутрь изначального документа.
Уже на этом этапе опытный получатель должен был заподозрить нетипичное поведение для PDF-документов. Преступники предусмотрели это и назвали встроенный файл "has been verified" — ”Файл подтверждён”.
“Операция Medusa отключила вредоносную программу Snake на пораженных компьютерах с помощью инструмента Perseus, которое заставило Snake переписать свои важные компоненты”, — отчитался Минюст США. Ведомство получило в суде разрешение на удаленный доступ к зараженным компьютерам.
При этом американские спецслужбы уже назвали “рязанского змея” “самым хитроумным оружием России для кибершпионажа”. Официальных комментариев от российских властей по ситуации на момент публикации не поступало.
