美国FBI称摧毁了SNAKE网络间谍软件

5月9日，FBI发布报告，称其成功入侵并摧毁了网络间谍软件SNAKE。

在报告中，FBI指出Snake恶意软件的开发始于2003年底，名为“Uroburos”，而第一个版本的植入程序似乎在2004年初完成。该恶意软件与俄罗斯Turla黑客组织相关联 。

根据9日公开的法庭文件，美国近20年来一直密切关注Snake和与Snake相关的恶意软件工具。

报告中指出，作为“最复杂的长期网络间谍恶意软件植入物”，Snake允许其操作员在受感染的设备上远程安装恶意软件，窃取敏感文档和信息（例如身份验证凭证），保持持久性，并在使用时隐藏他们的恶意活动“隐蔽的点对点网络。

 通过自毁命令禁用 

Snake的一个关键方面是它的点对点性质，这使得攻击者可以通过位于受信任位置的受损计算机来路由其间谍和渗透活动，从而使活动更难被发现。

据联合咨询报告，FBI之所以能够解密SNAKE的通信，实际上是利用了SNAKE开发者的错误。

在某些看似仓促部署Snake的情况下，操作员忽略了剥离 Snake二进制文件，导致大量函数名称、明文字符串和开发人员评论被泄露。

攻击者使用OpenSSL库来处理其Diffie-Hellman密钥交换。Snake在密钥交换期间创建的Diffie-Hellman密钥集太短而不安全，提供的函数DH_generate_parameters的质数长度仅为128位，这对于非对称密钥系统来说是不够的。

几年来，FBI研究了区分、解密和解释Snake网络流量的方法，并开发了一个名为 PERSEUS的工具。

它可与特定计算机上的Snake恶意软件植入物建立通信会话，并发出命令使Snake植入物自行禁用而不影响主机或计算机上的合法应用程序。

当前，FBI已经关闭了美国境内所有受感染的设备，而在美国境外，该机构“正在与地方当局合作，以提供有关当局所在国家/地区内 Snake 感染的通知和补救指导。

报告指出，在 50 多个国家/地区检测到的 Snake 恶意软件基础设施被黑客用来从政府网络、研究组织和记者在内的广泛目标收集和窃取敏感数据。

美国主动网络攻击行动端倪

值得注意的是，FBI的这项行动依赖于一项名为Rule 41的法律条款，该条款允许法官授权美国调查人员访问多个司法管辖区的计算机并采取特定行动。该规定已用于其他主动的联邦网络行动，包括2022年4月FBI拆除僵尸网络Cyclops Blink。

正如美国司法部副部长丽莎·莫纳科(Lisa Monaco)最近所述，所有这三项行动以及其他网络犯罪执法行动都是美国政府持续推动开展更积极主动的网络行动的一部分。

素材来源于：

https://cyberscoop.com/fbi-disrupts-russian-cyber-espionage-tool/

https://www.bleepingcomputer.com/news/security/fbi-nukes-russian-snake-data-theft-malware-with-self-destruct-command/

原文始发于微信公众号（安全客）：美国FBI称摧毁了SNAKE网络间谍软件