Программу в 2003 году создал 16 Центр ФСБ, который курирует долгосрочные операции по сбору разведданных. За почти 20 лет ПО Snake внедрили в компьютерные системы как минимум в 50 странах. По данным Минюста США, многие из этих систем принадлежат государствам — членам НАТО.
Российское правительство давно занимается кибершпионажем.
В числе прочего Кремль стремится «подавлять определенную социальную и политическую деятельность, похищать интеллектуальную собственность и наносить ущерб региональным и международным противникам», как сказано в обзоре киберугроз со стороны России, который подготовило Агентство по кибербезопасности и защите инфраструктуры США (CISA).
В сотрудничестве с местными и международными партнерами CISA выпустило информационное сообщение, в котором сказано, что ПО Snake, предназначенное для сбора разведданных, считается самым сложным инструментом в арсенале 16 Центра.
Вредоносное ПО сменило несколько названий. Изначально оно называлось Uroburos. Уроборос — древний символ в виде змеи, кусающей собственный хвост.
Также 16 Центр использовал названия Ur0bUr()sGoTyOu# и gLASs D1cK.
Внедрившись в компьютеры по всему миру, ПО Snake объединило зараженные системы в сеть, дав ФСБ доступ к конфиденциальным материалам.
Похитив файлы, программа отправляла их в 16 Центр через ту же сеть.
Популярные операционные системы, такие как Windows, macOS и Linux, были уязвимы в равной степени.
«Россия использовала изощренное вредоносное ПО для хищения конфиденциальной информации у наших союзников. Она получала данные через сеть зараженных компьютеров в США, цинично пытаясь скрыть свои преступления», — сказал Бреон Пис, прокурор США по Восточному округу Нью-Йорка.
В прошлом вредоносное ПО использовали для атак в таких отраслях, как здравоохранение, оборона, объекты жизнеобеспечения, энергетика, связь, водоснабжение и финансы. По данным британской разведки, 16 Центр проводил кибероперации и против российских граждан. Мишенями становились диссиденты, представители оппозиции и журналисты.
Даже после того как цель была скомпрометирована, вредоносное ПО на всякий случай сохраняло подключение к сети, говорится в сообщении CISA.
За 20 лет устаревает любое программное обеспечение, но американские следователи отметили, что российская разведка выпустила множество обновлений и дополнений к Snake, чтобы программа оставалось самым надежным инструментом ФСБ для хищения данных.
Осознавая опасность, власти США, Канады, Великобритании, Австралии и Новой Зеландии объединились для борьбы с российским ПО.
Операция против Snake получила кодовое название Medusa. Медуза — мифическое существо с женским лицом и змеями вместо волос, ее взгляд обращал смотрящих на нее в камень.
В качестве ответной меры ФБР разработало собственное ПО под названием Perseus («Персей»), которое могло расшифровывать сообщения 16 Центра, отправляемые по сети Snake.
В греческой мифологии Персей — легендарный герой, который обезглавил Медузу.
ПО Perseus внедрилось в Snake и дало программе команду отключиться, не причинив дополнительного вреда компьютеру, как сообщили в Министерстве юстиции.
«Операция, о которой мы рассказали сегодня, успешно обезвредила главный инструмент кибершпионажа российского правительства, — сказал заместитель исполняющего обязанности директора ФБР Майкл Дрисколл. — Двадцать лет это вредоносное ПО позволяло российской разведке взламывать компьютерные системы и красть секретные данные, нанося ущерб не только правительству США и нашим союзникам, но и частным предприятиям».
«Пять глаз» успешно обезвредили Snake, но в Минюсте отметили, что Medusa не помогла исправить уязвимости или удалить другие хакерские инструменты, которые 16 Центр мог внедрить в компьютерные системы.
В CISA подчеркнули, что программа Snake обезврежена, но не ликвидирована.
По данным агентства, российской киберразведке много лет помогали несколько групп киберпреступников с «паучьими» никнеймами.
Спонсируемые государством хакеры Mummy Spider, Salty Spider, Scully Spider, Smokey Spider и Wizard Spider компрометировали информационные сети и похищали конфиденциальные данные.
Они помогли 16 Центру атаковать компьютерные системы по всей территории НАТО, проникли в правительственные сети, а также в сети финансовых и медицинских учреждений.
По данным CISA, они помогали России во время вторжения в Украину, используя DoS-атаки против украинских мишеней, нарушая работу их сетей и мешая их усилиям, направленным против агрессоров.
