24.05.2023.

Kako su špijuni srušili Putinovo najpodmuklije oružje protiv Zapada 

"Protiv naše domovine vodi se pravi rat!” , pozdravio je Vladimir Putin gromoglasno publiku na Crvenom trgu u Moskvi tokom parade povodom Dana pobjede. Ipak, čak i kada su se njegovi oklopni automobili i vojni kamioni kotrljali preko kaldrme na godišnjoj paradi povodom Dana pobjede, zapadni cyber eksperti dali su ruskom lideru nezaboravan poklon.

Mrežu zlonamjernog software (malvera) Snake koju koristi ruska tajna služba FSB  oborila je zapadna špijunska alijansa Five Eyes u multinacionalnoj operaciji kodnog naziva Operacija Meduza.

Uklanjanje ovog software onesposobilo je vitalno sredstvo Kremlja za miješanje u zapadne izbore, podrivanje poslovanja i prikupljanje obaveštajnih podataka o neprijateljima Moskve – okončavši dvonedjeljnu kampanju cyber špijunaže koja je neselektivno ciljala na biznise i na zapadne vlade.

Paul Chichester, šef Nacionalnog centra za cyber sigurnost, opisuje Snake kao „sofisticirano špijunsko sredstvo koje koriste ruski cyber akteri”, dodajući da je Operacija Meduza pomogla da se otkriju taktike i tehnike koje se koriste protiv meta, koje su, prema riječima njegovih američkih kolega, uključivale su i vlade NATO-a i brojne kompanije.
Portparol kanadskog Komunikacionog centra za sigurnost kaže: „Udruženi napori u borbi protiv Snakea i srodnih alata traju skoro 20 godina, dok je akter prijetnje prilagođavao i modificirao svoj malver kako bi ga učinio održivim nakon ponovljenih javnih otkrivanja i ublažavanja.

U saradnji između pet najvećih zapadnih cyber sila – Australije, Velike Britanije, Kanade, Novog Zelanda i SAD – računarske mreže koje se koriste za kontrolu glavnog zlonamjernog softvera Snake bile su isključene sa Interneta, efektivno zaslijepljujući ruske operativce.

U javnim dokumentima, zapadne obavještajne agencije opisuju da je Snake bio uključen u podmuklu i višegodišnju kampanju protiv interesa globalne demokratije.
FSB je koristio software za krađu osjetljivih diplomatskih dokumenata iz jedne zemlje NATO-a, a ciljao je i na finansijske usluge, kritične proizvođače i medijske organizacije širom slobodnog svijeta. Zaražen je i lični računar neimenovanog novinara jedne američke medijske kuće.

John Hultquist, šef Google Mandiant Intelligence Analisis, dodaje da je FSB jednom koristio Snake da prisluškuje iransku hakersku kampanju, krišom koristeći informacije ukradene od jedne zapadne organizacije, dok su Iranci čestitali sebi na svom obavještajnom udaru.

Stručnjaci se slažu da je Snake jedno od najpodmuklijih alata te vrste. Hultquist opisuje cyber kampanju kao „onu za koju znamo najduže“ i „vjerovatno jednu od najsofisticiranijih i najneuhvatljivijih“.

„Veoma dugo su ciljali na Ujedinjeno Kraljevstvo“, kaže Hultquist.

„Po mom iskustvu, tamo su uradili mnogo operacija. Ali, znate, ima operacija u Ukrajini i širom Evrope. Zaista nema boljeg vremena da zaslijepite svoje sakupljače obavještajnih podataka nego kada im je to najpotrebnije”, ističe Hultquist, pozivajući se na odbranu Rusije od dugo očekivane vojne kontraofanzive Ukrajine.

Direktno porijeklo Snake datira iz 2003.godine, kada su računarski stručnjaci FSB-a započeli razvoj prilagođenog zlonamjernog software kodnog naziva Ouroboros, koji su razvile njihove zapadne kolege.

Ovaj sistem je konačno upotrijebljen protiv Zapada 2008. godine, kada je radoznali američki vojnik na Bliskom istoku pokupio USB stick napunjen malverom i priključio ga u računar.

Kaskada virusnih infekcija koja je uslijedila trajala je 14 mjeseci, koliko je trebalo  američkoj vojsci da ih potpuno iskorijeni iz svojih mreža, a očajni komandanti su čak pribjegli potpunoj zabrani USB stickova.

Malver je razvio i održavao ruski entitet poznat kao Centar 16 ili Jedinica 71330. Bio je toliko moćan da su čak i zaposleni FSB-a u njegovoj bazi u Rjazanju, 130 milja jugoistočno od Moskve, imali problema da ga pravilno koriste.

„Naša istraga je otkrila primjere osoblja FSB-a koji nisu bili upoznati sa naprednim mogućnostima Snake“, saopćilo je tužilaštvo FBI pred američkim saveznim sudovima.

Ali čak i dok su se Rusi uhvatili u koštac sa Snake, američki špijuni su pratili aktivnosti u 16 zgrada centra iz kojih je špijunski alat raspoređen i proučavali njegove slabe tačke.

Kulminacija operacije Meduza bila je tehnika FBI koja je omogućila da se ključne komponente zlonamjernog software Snake zamijeni bez uticaja na legitimne aplikacije ili datoteke na zaraženim računarima, efektivno brišući ruski program sa svih računara u jednom naletu.

Chester Wisniewski , glavni tehnički službenik za primjenjena istraživanja u kompaniji za cyber sigurnost Sophos, kaže da su Rusima bile potrebne „godine i godine da razviju Snake“ i da će njegov gubitak teško pogoditi Putinove špijune.

“Samo nekoliko sedmica predaha’

Priča o kolapsu sistema baca novo svjetlo na mračnu borbu koja se odvija između rivalskih vlada na Internetu.

Agenti FBI-a su osmislili metod da tajno uđu u trag kako je Snake uspio zaraziti ciljane računare i kontaktirati ruske operatere da im je dostupan novozaraženi računar.

Koristeći ovu tehniku, FBI je uspio locirati ne samo žrtve Snake, već i vitalnu komandnu i kontrolnu mrežu koja je software “dala otrov”.

Prema profesoru Alan Woodward, stručnjaku za cyber sigurnost sa Univerziteta u Surreyu, tehničke karakteristike Snake su izuzetno otežale Zapadu pronalazak njegove ranjivosti. Ipak, Rusi su napravili kritične greške koje su pomogle cyber stručnjacima da “odsijeku Snake glavu”.

Woodward  objašnjava da Snake koristi široko korišteni dio software koji se zove OpenSSL za šifriranje web saobraćaja na način koji radoznalim očima otežava dešifriranje. Međutim, greškom korisnika, špijuni Zapada su uspjeli probiti ovu zaštitu.
„Neko je zloupotrebio ovu funkciju i napravio ključeve [šifriranje] koji nisu bili dovoljno jaki da izdrže poznate napade“, kaže Woodward.

„Kao rezultat toga, organi za provođenje zakona su mogli vidjeti tačno kako ova mreža funkcionira i identificiraju krajnje primatelje ukradenih podataka. Ostavili su neke tragove istražiteljima, kao što su ključne riječi i nazivi funkcija… To je lako uraditi kada ste u žurbi, ali to nije fundamentalna mana Snake“, naglašava Woodward. 
Uprkos zapadnjačkim pohvalama za brisanje Snake, svi stručnjaci se slažu da je ovaj debakl privremeni neuspjeh, a ne stalna pobjeda.

Don Smith iz kompanije za syber sigurnost Secureworks procjenjuje da bi se Snake mogao vratiti na mrežu za samo nekoliko sedmica.  Wisniewski iz Sophosa i  Hultquist iz Mandianta daju najviše nekoliko mjeseci za njegov povratak na mrežu.

Svi upoređuju operacije zlonamjernog softvera sa mrežama cyber kriminala koje uhode svoje kompanije – i svi očekuju da će FSB uskoro vaskrsnuti svoj obezglavljeni Snake.

„To je bila pobjeda za mačku“, kaže Wisniewski, „ali miševi su pametni – i brzo se razmnožavaju“.