Министерство юстиции США закрыло сеть вредоносного ПО, управляемую российскими актерами

Министерство юстиции США (DOJ) заявило во вторник, что они уничтожили всемирную сеть компьютеров, зараженных вредоносными программами, которые российские службы государственной безопасности якобы использовали в течение почти двух десятилетий для извлечения секретной информации из США и их союзников по НАТО.

Инициатива под кодовым названием «МЕДУЗА» была направлена на уничтожение вредоносного ПО «Змея», используемого подразделением ФСБ России под названием «Турла», которое киберэксперты считают одной из самых передовых групп кибершпионажа в мире. ФБР создало инструмент под названием «PERSEUS», который нейтрализует вредоносное ПО Snake, не затрагивая хост-компьютер или законные приложения, после того как судья в Бруклине предоставил ему разрешение на доступ к зараженным компьютерам. Вредоносная программа Snake была нацелена на страны-члены НАТО, финансовые учреждения, журналистов и другие цели российского правительства, начиная с 2004 года.

ФБР проинформировало всех жертв, к чьим компьютерам был получен доступ в ходе операции MEDUSA, а Соединенные Штаты и партнеры Five Eyes выпустили совместный бюллетень по кибербезопасности, который включает подробную техническую информацию о вредоносном ПО, чтобы эксперты по кибербезопасности могли определить, были ли потенциально заражены другие сети. Известно, что после получения доступа к сетям группа Turla использует инструмент «кейлоггер», который крадет пароли учетных записей и другие учетные данные для аутентификации, создавая постоянную угрозу для некоторых целевых лиц.

Кто такие спонсируемые государством субъекты угроз и как они часто используются в международном кибершпионаже?

Спонсируемые государством субъекты угроз — это киберпреступники, которые получают поддержку от национальных правительств для проведения кибератак, кибершпионажа или других злонамеренных действий против иностранных государств, организаций или отдельных лиц. Эти субъекты часто обладают высокой квалификацией и хорошо финансируются, и они действуют с целью продвижения стратегических и экономических интересов своих стран.

Спонсируемые государством субъекты угроз обычно нацелены на широкий круг целей, включая государственные учреждения, военные учреждения, объекты критической инфраструктуры, финансовые учреждения, университеты и частные компании. Они могут использовать различные тактики, такие как целевой фишинг, вредоносное ПО, социальная инженерия и эксплойты нулевого дня, чтобы получить несанкционированный доступ к целевым системам или украсть конфиденциальные данные.

Эти кампании кибершпионажа часто начинаются с разведки для выявления уязвимых систем и интересующей информации. Получив доступ, злоумышленники будут перемещаться по сети в горизонтальном направлении, чтобы повысить свои привилегии и собрать конфиденциальные данные. В некоторых случаях они могут использовать бэкдоры, вредоносное ПО или другие инструменты для обеспечения долгосрочного доступа к скомпрометированным системам и продолжения их операций незамеченными.

Спонсируемые государством субъекты угроз часто используются в международных кампаниях кибершпионажа, чтобы получить стратегическое преимущество перед другими странами или украсть ценную интеллектуальную собственность. Атаки могут использоваться для достижения политических, военных, экономических или дипломатических целей, а украденные данные могут использоваться для информирования национальной политики, информирования деловых решений или продажи с целью получения прибыли в даркнете. Потенциальные последствия спонсируемых государством кампаний кибершпионажа могут быть серьезными, включая потерю критически важной инфраструктуры, ущерб национальной безопасности и значительные финансовые потери для отдельных лиц и организаций.