USA neutralisiert russische Geheimdienst-Spionagesoftware, die seit 20 Jahren in 50 Ländern aktiv ist, darunter 2016 im deutschen Bundestag
Mi., 10. Mai 2023
Washington — Das US-Justizministerium teilte am Dienstag mit, es habe ein “ausgeklügeltes” Malware-Netzwerk ausgeschaltet, das der russische Geheimdienst FSB zwei Jahrzehnte lang zur Spionage in 50 Ländern, darunter ein NATO-Verbündeter und Deutschland, eingesetzt hat.
Nach Angaben von US-Beamten hatte der FSB die Schadsoftware “Snake Uroburos” erfolgreich in Computersysteme auf der ganzen Welt, inkl. im deutschen Bundestag (Quelle), eingeschleust und sich dabei auf Regierungsnetzwerke, Forschungseinrichtungen, Journalisten und andere Ziele konzentriert.
Die Computer in dem System dienten auch als Relaisknoten, um den Datenverkehr zu und von der Snake-Malware zu verschleiern, die in die Zielcomputersysteme eingeschleust wurde.
In einer jahrelangen Operation gelang es dem FBI, Snake zu besiegen, indem es einen eigenen Computercode einfügte, der Befehle erteilte, mit denen sich die Malware selbst überschrieb, so das Justizministerium.
“Durch eine Hightech-Operation, bei der russische Malware gegen sich selbst gerichtet wurde, haben die US-Strafverfolgungsbehörden eines der raffiniertesten russischen Cyberspionage-Werkzeuge unschädlich gemacht, das zwei Jahrzehnte lang eingesetzt wurde, um die autoritären Ziele Russlands voranzutreiben”, sagte die stellvertretende Justizministerin Lisa Monaco.
Die Schadsoftware ist Computersicherheitsexperten seit mindestens zehn Jahren bekannt, und die US-Cyberabwehrbehörde CISA erklärte, der FSB habe 2003 mit ihrer Entwicklung begonnen.
Die CISA bezeichnete Snake als “das raffinierteste Cyberspionage-Werkzeug im Arsenal des FSB” und wies darauf hin, dass es besonders unauffällig und in Computersystemen und im Netzwerkverkehr extrem schwer zu entdecken sei.
Außerdem sei es so konzipiert, dass es sich leicht aktualisieren und modifizieren lasse und angesichts seiner Komplexität erstaunlich wenige Bugs aufweise, so die CISA.
Diese Aspekte ermöglichten es dem FSB, über Jahre hinweg unentdeckt durch weit verzweigte Host-Netzwerke zu arbeiten, um in Computer mit sensiblen Dokumenten einzudringen.
Zumindest in einem Fall wurde “Snake” auf den Systemen eines nicht genannten NATO-Landes platziert, die es dem russischen Geheimdienst ermöglichte, auf sensible Dokumente über internationale Beziehungen und diplomatische Kommunikation zuzugreifen und diese zu exfiltrieren, so die CISA.
“Die Wirksamkeit dieser Art von Cyberspionage-Implantaten hängt ganz von ihrer langfristigen Unauffälligkeit ab”, so die Agentur.
- FBI hackt zurück -
Frühere offizielle und Nachrichtenberichte haben darauf hingewiesen, dass Snake und verwandte Software auf Regierungssystemen in Deutschland (Quelle), Belgien, der Ukraine und der Schweiz gefunden wurden.
Laut CISA haben US-Ermittler die Entwicklung der Schadsoftware zu einer FSB-Einheit namens Center 16 zurückverfolgt, die von Rjasan, Russland, aus operiert und von einem Büro der Einheit in Moskau aus arbeitet.
Die CISA erklärte, dass sie und die Cyberexperten ihrer Verbündeten die Einheit und ihre Hacking-Tools - allgemein bekannt als das Turla-Toolset - seit fast 20 Jahren untersuchen.
Der FSB hat es für den Einsatz in Windows-, MacOS- und Linux-Betriebssystemen angepasst, und selbst als es von Computersicherheitsfirmen als Bedrohung entlarvt wurde, waren die Russen in der Lage, es so zu modifizieren, dass es verborgen und funktionsfähig blieb.
Die Raffinesse von Snake führte jedoch zu Fehlern bei der Verwendung durch weniger geschickte FSB-Mitarbeiter, die es westlichen Ermittlern ermöglichten, in das Innenleben des Programms einzudringen und die Malware aufzuspüren, so die CISA.
Das Justizministerium erklärte, das FBI habe ein Tool namens Perseus entwickelt, das die russische Malware unwirksam mache.
Perseus "baut Kommunikationssitzungen mit dem Snake-Malware-Implantat auf einem bestimmten Computer auf und gibt Befehle aus, die das Snake-Implantat veranlassen, sich selbst zu deaktivieren, ohne den Host-Computer oder legitime Anwendungen auf dem Computer zu beeinträchtigen", so das Ministerium.
Trotz des Erfolgs des Perseus-Implantats stellt die Snake-Malware immer noch eine Bedrohung dar, heißt es in einer gemeinsamen Empfehlung der Cyber-Behörden in den Vereinigten Staaten, Kanada, Großbritannien, Australien und Neuseeland vom Dienstag.
