Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Justizministerium gibt Gericht bekannt
Das Justizministerium gab heute den Abschluss einer gerichtlich genehmigten Operation mit dem Codenamen MEDUSA bekannt, um ein globales Peer-to-Peer-Netzwerk von Computern zu zerstören, das durch hochentwickelte Malware namens „Snake“ gefährdet ist, die die US-Regierung einer Einheit innerhalb dieses Systems zuschreibt Zentrum 16 des Föderalen Sicherheitsdienstes der Russischen Föderation (FSB). Seit fast 20 Jahren nutzt diese Einheit, die in Gerichtsdokumenten als „Turla“ bezeichnet wird, Versionen der Snake-Malware, um sensible Dokumente von Hunderten von Computersystemen in mindestens 50 Ländern zu stehlen, die der Nordatlantikpakt-Organisation (NATO) angehören ) Mitgliedsregierungen, Journalisten und andere Ziele, die für die Russische Föderation von Interesse sind. Nachdem Turla diese Dokumente gestohlen hatte, filterte er sie über ein verdecktes Netzwerk unwissentlich von Snake infizierter Computer in den Vereinigten Staaten und auf der ganzen Welt.
Operation MEDUSA deaktivierte Turlas Snake-Malware auf kompromittierten Computern mithilfe eines vom FBI erstellten Tools namens PERSEUS, das Befehle ausgab, die dazu führten, dass die Snake-Malware ihre eigenen wichtigen Komponenten überschrieb. In den Vereinigten Staaten wurde die Operation vom FBI aufgrund eines Durchsuchungsbefehls der US-Richterin Cheryl L. Pollak für den Eastern District von New York durchgeführt, der den Fernzugriff auf die kompromittierten Computer genehmigte. Heute Morgen hat das Gericht geschwärzte Versionen der eidesstattlichen Erklärung, die zur Unterstützung des Antrags auf den Durchsuchungsbefehl eingereicht wurde, und des vom Gericht ausgestellten Durchsuchungsbefehls entsiegelt. Für Opfer außerhalb der Vereinigten Staaten arbeitet das FBI mit den örtlichen Behörden zusammen, um sowohl Hinweise auf Schlangeninfektionen in den Ländern dieser Behörden zu geben als auch Anleitungen zur Abhilfe zu geben.
„Das Justizministerium hat zusammen mit unseren internationalen Partnern ein globales Netzwerk von mit Schadsoftware infizierten Computern zerschlagen, die die russische Regierung seit fast zwei Jahrzehnten für Cyberspionage nutzt, auch gegen unsere NATO-Verbündeten“, sagte Generalstaatsanwalt Merrick B. Girlande. „Wir werden unsere kollektive Verteidigung gegen die destabilisierenden Bemühungen des russischen Regimes, die Sicherheit der Vereinigten Staaten und unserer Verbündeten zu untergraben, weiter stärken.“
„Durch eine High-Tech-Operation, die russische Malware gegen sich selbst richtete, haben die US-Strafverfolgungsbehörden eines der ausgefeiltesten Cyber-Spionagetools Russlands neutralisiert, das seit zwei Jahrzehnten zur Förderung der autoritären Ziele Russlands eingesetzt wird“, sagte die stellvertretende Generalstaatsanwältin Lisa O. Monaco. „Durch die Kombination dieser Aktion mit der Veröffentlichung der Informationen, die Opfer zum Schutz benötigen, stellt das Justizministerium die Opfer weiterhin in den Mittelpunkt unserer Cyberkriminalitätsarbeit und verlagert den Kampf auf böswillige Cyberakteure.“
„Seit 20 Jahren verlässt sich das FSB auf die Snake-Malware, um Cyberspionage gegen die Vereinigten Staaten und unsere Verbündeten durchzuführen – das endet heute“, sagte der stellvertretende Generalstaatsanwalt Matthew G. Olsen von der Abteilung für nationale Sicherheit des Justizministeriums. „Das Justizministerium wird jede Waffe in unserem Arsenal einsetzen, um die böswilligen Cyberaktivitäten Russlands zu bekämpfen, einschließlich der Neutralisierung von Malware durch High-Tech-Operationen, der innovativen Nutzung von Justizbehörden und der Zusammenarbeit mit internationalen Verbündeten und Partnern aus dem Privatsektor, um unsere kollektive Wirkung zu verstärken.“
„Russland nutzte hochentwickelte Malware, um sensible Informationen von unseren Verbündeten zu stehlen und sie über ein Netzwerk infizierter Computer in den Vereinigten Staaten zu waschen, in einem zynischen Versuch, seine Verbrechen zu verbergen. Um der Herausforderung der Cyberspionage zu begegnen, sind Kreativität und die Bereitschaft erforderlich, alle rechtmäßigen Mittel einzusetzen.“ „Schützen Sie unsere Nation und unsere Verbündeten“, sagte US-Staatsanwalt Breon Peace für den Eastern District von New York. „Die heute angekündigte gerichtlich genehmigte Ferndurchsuchung und Sanierung zeigt das Engagement meines Büros und unserer Partner, alle uns zur Verfügung stehenden Mittel zum Schutz des amerikanischen Volkes einzusetzen.“
„Die heutige Ankündigung zeigt die Bereitschaft und Fähigkeit des FBI, unsere Behörden und technischen Fähigkeiten mit denen unserer globalen Partner zu bündeln, um böswillige Cyber-Akteure zu unterbinden“, sagte der stellvertretende Direktor der Cyber-Abteilung des FBI, Bryan Vorndran. „Wenn es darum geht, die Versuche Russlands zu bekämpfen, die Vereinigten Staaten und unsere Verbündeten mithilfe komplexer Cyber-Instrumente ins Visier zu nehmen, werden wir in unserer Arbeit zur Zerschlagung dieser Bemühungen nicht nachlassen. Wenn es um einen Nationalstaat geht, der an Cyber-Eingriffen beteiligt ist, die unsere nationale Sicherheit gefährden.“ Risiko, wird das FBI alle verfügbaren Instrumente nutzen, um diesen Akteuren Kosten aufzuerlegen und das amerikanische Volk zu schützen.“
Wie aus Gerichtsdokumenten hervorgeht, untersucht die US-Regierung seit fast 20 Jahren Snake und Snake-bezogene Malware-Tools. Die US-Regierung hat von einer bekannten FSB-Einrichtung in Rjasan, Russland, aus Turla zugeteilte FSB-Beamte überwacht, die tägliche Operationen mit Snake durchführen.
Obwohl Snake im Laufe seines Bestehens Gegenstand mehrerer Berichte der Cybersicherheitsbranche war, hat Turla zahlreiche Upgrades und Überarbeitungen durchgeführt und es gezielt eingesetzt, um sicherzustellen, dass Snake Turlas fortschrittlichstes langfristiges Cyberspionage-Malware-Implantat bleibt. Sofern es nicht gestört wird, verbleibt das Snake-Implantat auf unbestimmte Zeit auf dem System eines gefährdeten Computers, normalerweise unentdeckt vom Besitzer des Computers oder autorisierten Benutzern. Das FBI hat beobachtet, dass Snake trotz der Bemühungen eines Opfers, die Kompromittierung zu beheben, auf bestimmten Computern verbleibt.
Snake bietet seinen Turla-Betreibern die Möglichkeit, ausgewählte Malware-Tools aus der Ferne bereitzustellen, um die Funktionalität von Snake zu erweitern und vertrauliche Informationen und Dokumente, die auf einem bestimmten Computer gespeichert sind, zu identifizieren und zu stehlen. Am wichtigsten ist, dass die weltweite Sammlung von Snake-kompromittierten Computern als verdecktes Peer-to-Peer-Netzwerk fungiert, das angepasste Kommunikationsprotokolle verwendet, die die Erkennungs-, Überwachungs- und Erfassungsbemühungen westlicher und anderer Signalnachrichtendienste behindern sollen.
Turla nutzt das Snake-Netzwerk, um aus Zielsystemen herausgefilterte Daten über zahlreiche auf der ganzen Welt verstreute Relaisknoten zurück zu Turla-Betreibern in Russland zu leiten. Beispielsweise haben das FBI, seine Partner in der US-Geheimdienstgemeinschaft sowie verbündete ausländische Regierungen die Nutzung des Snake-Netzwerks durch den FSB überwacht, um Daten aus sensiblen Computersystemen, einschließlich solchen, die von NATO-Mitgliedsregierungen betrieben werden, zu extrahieren, indem sie die Übertragung von Daten weiterleiteten Diese gestohlenen Daten wurden unwissentlich von Snake-Computern in den Vereinigten Staaten kompromittiert.
Wie in Gerichtsdokumenten beschrieben, entwickelte das FBI durch die Analyse der Snake-Malware und des Snake-Netzwerks die Fähigkeit, Snake-Kommunikation zu entschlüsseln und zu entschlüsseln. Mit Informationen aus der Überwachung des Snake-Netzwerks und der Analyse von Snake-Malware entwickelte das FBI ein Tool namens PERSEUS, das Kommunikationssitzungen mit dem Snake-Malware-Implantat auf einem bestimmten Computer aufbaut und Befehle ausgibt, die dazu führen, dass sich das Snake-Implantat selbst deaktiviert, ohne den Host-Computer zu beeinträchtigen oder legitime Anwendungen auf dem Computer.
Um Netzwerkverteidiger weltweit zu stärken, haben das FBI, die National Security Agency, die Cybersecurity and Infrastructure Security Agency, die US Cyber Command Cyber National Mission Force und sechs weitere Geheimdienst- und Cybersicherheitsbehörden aus jedem der Five Eyes-Mitgliedsstaaten heute ein gemeinsames Dokument herausgegeben Cybersicherheitsempfehlung (die gemeinsame Empfehlung) mit detaillierten technischen Informationen über die Snake-Malware, die es Cybersicherheitsexperten ermöglichen wird, Snake-Malware-Infektionen in ihren Netzwerken zu erkennen und zu beheben. Das FBI und das US-Außenministerium stellen außerdem den örtlichen Behörden in Ländern, in denen sich Computer befinden, die von der Snake-Malware angegriffen wurden, zusätzliche Informationen zur Verfügung.
Obwohl Operation MEDUSA die Snake-Malware auf kompromittierten Computern deaktiviert hat, sollten Opfer zusätzliche Maßnahmen ergreifen, um sich vor weiterem Schaden zu schützen. Bei der Deaktivierung von Snake wurden weder Schwachstellen behoben noch nach zusätzlicher Malware oder Hacking-Tools gesucht oder diese entfernt, die Hackergruppen möglicherweise dem Opfer zugewiesen hatten. Das Justizministerium empfiehlt Netzwerkverteidigern nachdrücklich, die Gemeinsame Empfehlung zu lesen, um weitere Hinweise zur Erkennung und zum Patchen zu erhalten. Darüber hinaus setzt Turla, wie in Gerichtsdokumenten erwähnt, häufig einen „Keylogger“ mit Snake ein, mit dem Turla Kontoauthentifizierungsdaten wie Benutzernamen und Passwörter von legitimen Benutzern stehlen kann. Opfer sollten sich darüber im Klaren sein, dass Turla diese gestohlenen Zugangsdaten nutzen könnte, um auf betrügerische Weise erneut auf gefährdete Computer und andere Konten zuzugreifen.
Das FBI hat alle Besitzer oder Betreiber der Computer, auf die gemäß dem Durchsuchungsbefehl aus der Ferne zugegriffen wurde, über die gerichtlich genehmigte Operation informiert.
Der stellvertretende US-Staatsanwalt Ian C. Richardson für den Eastern District von New York verfolgt den Fall, wobei die Abteilung für Spionageabwehr und Exportkontrolle der National Security Division wertvolle Unterstützung leistet.
Die Bemühungen, das Snake-Malware-Netzwerk zu stören, wurden von der Außenstelle des FBI New York, der Cyber-Abteilung des FBI, der US-Staatsanwaltschaft für den Eastern District von New York und der Abteilung für Spionageabwehr und Exportkontrolle der National Security Division geleitet. Die Abteilung Computerkriminalität und geistiges Eigentum der Kriminalpolizei leistete wertvolle Hilfe. Diese Bemühungen wären ohne die Partnerschaft zahlreicher Unternehmen aus dem Privatsektor nicht erfolgreich gewesen, darunter auch der Opfer, die dem FBI erlaubten, die Snake-Kommunikation auf ihren Systemen zu überwachen.