دولت آمریکا توانست بدافزار پیشرفته جاسوسی ساخته شده توسط روسیه به نام «مار» را از کار بیندازد.
به گزارش افتانا به نقل از سکیوریتی ویک، بدافزاری که با نام «مار یا
Snake» شناخته میشود، نزدیک به دو دهه است که وجود داشته است و با ابزارها و کمپینهای مختلف دیگری مرتبط با دولت روسیه، از جمله Uroboros، Turla، Venomous Bear و Waterbug مرتبط بوده است.
به گفته دولت آمریکا، عاملان تهدید برای سرقت اسناد حساس از صدها دستگاه در حداقل 50 کشور از آن استفاده کردهاند. قربانیان شامل دولتهای
کشورهای عضو ناتو، روزنامهنگاران و مراکز تحقیقاتی هستند.
این بدافزار اکنون به طور رسمی به واحدی در مرکز 16 سرویس امنیتی فدرال (FSB) مرتبط شده است.
وزارت دادگستری ایالات متحده گفت: «دولت ایالات متحده افسران FSB که پرونده Turla را پیگیری میکردند، زیر نظر گرفت و متوجه شد که
هکرها عملیات روزانه را با استفاده از Snake از یک مرکز شناخته شده FSB در ریازان روسیه انجام میدهند.
این وزارتخانه اعلام کرد که یک عملیات مجاز دادگاه با نام رمز مدوسا منجر به اختلال در شبکه همتا-به-همتا (P2P) رایانههایی شده است که توسط بدافزار Snake در معرض خطر قرار گرفته است.
بسیاری از سیستمها در این شبکه P2P بهعنوان گرههای رله برای هدایت ترافیک عملیاتی پنهان به و از نمونههایی از بدافزار Snake مستقر در سیستمهای هدف، تنظیم شدهاند.
FBI ابزاری به نام Perseus توسعه داد که دستوراتی را صادر کرد تا بدافزار Snake، خود را با رونویسی اجزای حیاتی خود غیرفعال کند. با این حال، مقامات به قربانیان هشدار دادند که باید تجزیه و تحلیل خود را برای یافتن ابزارهای دیگری انجام دهند که ممکن است هکرها را قادر به دسترسی مجدد به سیستم های خود کنند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و آژانسهای مختلف دیگر از جمله شرکای Five Eyes یک توصیه فنی دقیق حاوی اطلاعاتی منتشر کردهاند که میتواند برای شناسایی و جلوگیری از حملات مربوط به بدافزار Snake، از جمله نوع اخیر، استفاده شود.
اختلال در بدافزار به دلیل اشتباهات در توسعه و عملیات امکانپذیر بود که به محققان اجازه داد Snake را ردیابی کرده و دادههای آن را دستکاری کنند.
FSB از کتابخانه OpenSSL برای مدیریت تبادل کلید Diffie-Hellman استفاده کرد. مجموعه کلید Diffie-Hellman که توسط Snake در هنگام تعویض کلید ایجاد شده است، برای ایمن بودن بسیار کوتاه است. FSB تابع DH_generate_parameters را با طول اولیه تنها 128 بیت ارائه کرد که برای سیستمهای کلید نامتقارن کافی نیست.
همچنین، در برخی از مواردی که به نظر میرسید استقرار سریع Snake باشد، اپراتورها از حذف باینری Snake غفلت کردند. این منجر به کشف نامهای توابع متعدد، رشتههای متن شفاف و نظرات توسعهدهندگان شد.
منبع:
Security Week