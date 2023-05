Americké ministerstvo spravedlnosti se včera pochlubilo úspěšnou a mezinárodně koordinovanou kybernetickou operací s kódovým označením Medusa.

Jejím cílem byl ruský malware a na něj navázaný botnet s přezdívkou Snake, který dobrých dvacet let a v různých modifikacích útočil na počítačové systémy zemí NATO a dalších partnerů. Za Snakem má podle úřadů stát přímo moskevská bezpečnostní agentura FSB a její jednotka pro kybernetické operace s přezdívko Turla, píše se v tiskové zprávě.

S vlastní tiskovkou se pochlubil také realizátor protiútoku – americká bezpečnostní agentura NSA.

Kradl dokumenty, hesla a prováděl špionáž

V technologickém principu se Snake příliš nelišil od běžných botnetů, které nejprve napadnou cílový počítač, aby jej následně zapojily do P2P sítě botů. Bot poté plní příkazy z ústřední a může být zapojený do nejrůznějších kampaní (rozesílání spamů, malwaru, účast na DDoS apod.)



Snake byl napsaný v C a ke komunikaci v botnetu používal vlastní komunikační protokoly nad TCP (Z technické dokumentace)

V případě Snaku malware kradl na počítači citlivé soubory, odposlouchával komunikaci a snažil se keyloggerem odposlouchávat hesla. Pikantní bylo hlavně to, že jej skrze své agentury provozoval přímo ruský stát pro špionáž a Snake úspěšně odcizoval dokumenty v sítích zemí Severoatlantické aliance.

Hada zničil Perseus, který dal povel k autodestrukci

A proč to celé trvalo tak dlouho? Od roku 2003 pochopitelně neútočila jedna jediná verze softwaru – ta by dnes už byla pochopitelně prehistorická –, ale Rusové malware průběžně vylepšovali, jak se to děje i u ostatních softwarů a botnetových systémů.



Snake na zasaženém botu (počítači) neposlouchal příkazy z velínu na konkrétním TCP portu, ale skenoval všechny příchozí pakety, jestli neobsahují nějaký povel. Tím pádem byl na první pohled neviditelný. Veškeré příkazy byly silně šifrované

NSA nicméně mohla vývoj tiše sledovat, útoky analyzovat, až se jejím expertům konečně podařilo plně dekódovat zdrojový kód a dešifrovat komunikační povely z ústředí botnetu v Rusku. Nakonec si naprogramovali vlastní program Perseus, který se jako klient napojil do Snaku a vyslal do sítě v podstatě povel k autodestrukci. Tím pádem došlo k deaktivaci malwaru v zasažených počítačích.

Na některých izolovaných nicméně může Snake i nadále zůstávat, a tak americké úřady vydaly doporučení a technickou dokumentaci pro bezpečnostní experty, jak jej identifikovat.

Podle amerického ministerstva spravedlnosti byl Snake doposud nedůmyslnější ruský malware a botnet.