US DOJ likwiduje sieć złośliwego oprogramowania prowadzoną przez rosyjskich aktorów

Departament Sprawiedliwości USA (DOJ) ogłosił we wtorek, że zlikwidował światową sieć komputerów zainfekowanych złośliwym oprogramowaniem, które rosyjskie służby bezpieczeństwa rzekomo wykorzystywały przez prawie dwie dekady do wydobywania informacji niejawnych ze Stanów Zjednoczonych i sojuszników z NATO.

Inicjatywa o kryptonimie „MEDUSA” miała na celu wyeliminowanie szkodliwego oprogramowania „Snake” wykorzystywanego przez jednostkę rosyjskiej FSB o nazwie „Turla”, którą cybereksperci uważają za jedną z najbardziej zaawansowanych grup cyberszpiegowskich na świecie. FBI stworzyło narzędzie o nazwie „PERSEUS”, które neutralizuje złośliwe oprogramowanie Snake bez wpływu na komputer hosta lub legalne aplikacje, po uzyskaniu pozwolenia od sędziego z Brooklynu na udzielenie dostępu do zainfekowanych komputerów. Szkodliwe oprogramowanie Snake atakowało kraje będące członkami NATO, instytucje finansowe, dziennikarzy i inne cele rosyjskiego rządu, począwszy od 2004 roku.

FBI poinformowało wszystkie ofiary, do których komputerów uzyskano dostęp w ramach operacji MEDUSA, a Stany Zjednoczone i partnerzy Five Eyes wydali wspólny poradnik dotyczący cyberbezpieczeństwa, który zawiera szczegółowe informacje techniczne na temat złośliwego oprogramowania, aby eksperci ds. cyberbezpieczeństwa mogli wykryć, czy inne sieci zostały potencjalnie zainfekowane. Wiadomo, że po uzyskaniu dostępu do sieci grupa Turla używa narzędzia „keylogger”, które kradnie hasła do kont i inne dane uwierzytelniające, stwarzając ciągłe zagrożenie dla niektórych atakowanych osób.

Kim są sponsorowani przez państwo aktorzy i jak często są wykorzystywani w międzynarodowym cyberszpiegostwie?

Aktorzy cyberprzestępczy sponsorowani przez państwo to cyberprzestępcy, którzy otrzymują wsparcie od rządów krajowych w przeprowadzaniu cyberataków, cyberszpiegostwa lub innych złośliwych działań przeciwko obcym narodom, organizacjom lub osobom. Podmioty te są często wysoko wykwalifikowane i dobrze finansowane, a ich działania mają na celu wspieranie strategicznych i gospodarczych interesów ich krajów.

Aktorzy cyberprzestępczy sponsorowani przez państwo zazwyczaj obierają sobie za cel szeroki zakres celów, w tym agencje rządowe, instytucje wojskowe, infrastrukturę krytyczną, instytucje finansowe, uniwersytety i firmy prywatne. Mogą stosować różne taktyki, takie jak spear-phishing, złośliwe oprogramowanie, socjotechnika i exploity dnia zerowego, aby uzyskać nieautoryzowany dostęp do docelowych systemów lub ukraść poufne dane.

Te kampanie cyberszpiegowskie często rozpoczynają się od rekonesansu w celu zidentyfikowania wrażliwych systemów i interesujących informacji. Po uzyskaniu dostępu cyberprzestępcy będą przemieszczać się w poprzek sieci, aby zwiększać swoje uprawnienia i zbierać poufne dane. W niektórych przypadkach mogą wdrażać backdoory, złośliwe oprogramowanie lub inne narzędzia w celu utrzymania długoterminowego dostępu do zaatakowanych systemów i kontynuowania operacji niewykrytych.

Sponsorowane przez państwo ugrupowania cyberprzestępcze są często wykorzystywane w międzynarodowych kampaniach cyberszpiegowskich w celu uzyskania strategicznej przewagi nad innymi państwami lub kradzieży cennej własności intelektualnej. Ataki mogą być wykorzystywane do osiągania celów politycznych, wojskowych, ekonomicznych lub dyplomatycznych, a skradzione dane mogą być wykorzystywane do kształtowania polityki krajowej, podejmowania decyzji biznesowych lub sprzedawane z zyskiem w ciemnej sieci. Potencjalny wpływ sponsorowanych przez państwo kampanii cyberszpiegowskich może być poważny i obejmować utratę infrastruktury krytycznej, szkody dla bezpieczeństwa narodowego oraz znaczne straty finansowe dla osób i organizacji.