FBI legt russisches "Snake"-Malware-Netzwerk des FSB lahm

Das US-Justizministerium meldet einen Erfolg der Operation "Medusa", die zum Ziel hatte, das globale Peer-to-Peer-Netzwerk aus mit der "Snake"-Malware infizierten Rechnern außer Betrieb zu nehmen. Die fortschrittliche Schadsoftware Snake führt die US-Regierung auf eine Einheit innerhalb von "Center 16" des russischen Geheimdienstes FSB zurück.

Wie das US-amerikanische Justizministerium schreibt, sei die Einheit namens "Turla" seit fast 20 Jahren mit Versionen der Snake-Malware aktiv. Sie setze sie ein, um "sensible Dokumente von Hunderten von Computersystemen in mindestens 50 Ländern zu stehlen, die Regierungen von NATO-Mitgliedsstaaten, Journalisten und anderen für die Russische Föderation interessanten Zielen gehörten". Nachdem Turla die Dokumente gestohlen hatte, exfiltrierte die Einheit sie durch ein verdecktes Netzwerk aus mit der "Snake"-Schadsoftware kompromittierten Computern in den Vereinigten Staaten und auf der ganzen Welt.

FBI zerstört Snake-Netzwerk

Um das Peer-to-Peer-Netzwerk außer Gefecht zu setzen, hat das FBI ein Tool namens Perseus entwickelt. Das Tool hat der Snake-Malware Befehle untergeschoben, durch die der Schädling essenzielle Komponenten seiner selbst überschrieben hat. Damit hat das Projekt Medusa die Malware auf den kompromittierten Rechnern entschärft.

Um auf die infizierten Rechner zuzugreifen, hatte das FBI zuvor einen Durchsuchungsbeschluss eines New Yorker Gerichts erwirkt. Dieser genehmigte den Fernzugriff auf die kompromittierten Maschinen. Das FBI arbeite außerhalb der USA mit lokalen Behörden zusammen und informiere sie über Snake-infizierte Systeme in ihrem Land. Zudem liefere die Behörde Anleitung, um gegen die Malware vorzugehen.

Das US-Justizministerium ergänzt, dass die Turla-Gruppe mithilfe von Snake ausgewählte Malware-Tools aus der Ferne einsetzen kann. Damit können sie die Funktionen von Snake erweitern und sensible Informationen und Dokumente, die auf einem bestimmten Computer gespeichert sind, identifizieren und stehlen. Vor allem aber fungiere die weltweite Sammlung von mit Snake kompromittierten Computern als verdecktes Peer-to-Peer-Netzwerk, das selbstgestrickte Kommunikationsprotokolle verwendet, um die Erkennung, Überwachung und Erfassung durch westliche und andere Nachrichtendienste zu erschweren.

Turla nutzte das Snake-Netzwerk, um Daten, die von Zielsystemen exfiltriert worden waren, über zahlreiche und weltweit verstreute Relais-Knotenpunkte zurück zu den Turla-Betreibern in Russland zu leiten. So haben etwa das FBI, dessen US-Partner-Geheimdienste und verbündete ausländische Regierungen die Nutzung des Snake-Netzwerks durch den FSB beobachtet. Dieses habe Daten von sensiblen Computersystemen – einschließlich derer von NATO-Mitgliedsregierungen – abgezogen, indem es die Übertragung dieser gestohlenen Daten über unwissentlich mit Snake infizierte Computer in den Vereinigten Staaten leitete.

Turla-Opfer sollten aktiv werden

Obwohl die Operation Medusa die Snake-Malware auf den kompromittierten Computern deaktiviert hat, sollten die Opfer zusätzliche Maßnahmen ergreifen, um sich vor weiteren Schäden zu schützen. Bei der Deaktivierung von Snake wurden keine Schwachstellen gepatcht und es wurde auch nicht nach zusätzlicher Malware oder Hacker-Tools gesucht, die Cyberkriminelle möglicherweise auf den Opfer-Rechnern platziert haben. Das US-Justizministerium empfiehlt potenziellen Opfern der Snake-Malware, die tiefgehende Analyse der Schadsoftware etwa der US-Cyber-Sicherheitsbehörde CISA zu konsultieren und weitere Sicherheitsmaßnahmen zu ergreifen.

Strafverfolgern gelingen immer wieder Schläge gegen staatliche und nicht staatliche Cyber-Verbrecher. Anfang April gingen Strafverfolgungsbehörden aller Bundesländer den Untergrund-Marktplatz "Genesis Market" vor. An der Aktion waren maßgeblich auch das FBI, die niederländische National High Tech Crime Unit (NHTCU) sowie Europol beteiligt. Im April des vergangenen Jahres gelang es dem FBI, das "Cyclops Blink"-Netzwerk des russischen Geheimdienstes stillzulegen.

(dmk)