Министерство юстиции США 9 мая объявило, что американским специалистам по кибербезопасности удалось нейтрализовать вирус Snake ("Змея"), с помощью которого российские спецслужбы с 2003 года похищали чувствительные документы у сотен пользователей компьютеров, работавших в правительственных структурах стран НАТО, а также у журналистов и сотрудников посольств. Создание и применение этого трояна, обо всех функциях которого не знали даже использовавшие его хакеры, связывают с 16-м центром ФСБ России, бывший сотрудник которого оказался в числе дипломатов, высланных из стран ЕС после начала российского вторжения в Украину.
Примечание: уже после публикации в этот текст был добавлен комментарий эксперта по IT-безопасности Пола Раскогнереса.
Вирус-ветеран
Как следует из опубликованных американскими властями документов, Snake был создан группой хакеров ФСБ под названием "Турла", сотрудники которой работали в Рязани (вычислить их удалось в том числе с помощью отслеживания времени их активности). С помощью вредоносной программы спецслужбе удалось инфицировать компьютеры в 50 странах, в том числе в самой России. Утверждается также, что ФСБ удалось получить доступ к секретным документам и дипломатической переписке по крайней мере одного государства-члена НАТО, но объектом ее внимания помимо этого были образовательные и государственные учреждения, СМИ, финансовые организации и объекты критической инфраструктуры.
Западные спецслужбы вели наблюдение за Snake в течение двух десятилетий, предупреждения о ней регулярно публиковались специалистами по кибербезопасности, но обезвредить вирус полностью удалось только сейчас. Как объясняют специалисты, программа Snake постоянно совершенствовалась своими создателями, что препятствовало ее блокировке. В итоге для нейтрализации вируса в ФБР создали специальный инструмент под кодовым названием "Персей", который в рамках операции "Медуза" через зараженные компьютеры начал выдавать команды, заставляющие вредоносное ПО уничтожать собственные жизненно важные компоненты – фактически повторив сюжет древнегреческого мифа о превращавшей людей в камень своим видом Медузе Горгоне, которой Персей смог отрубить голову со змеями вместо волос, воспользовавшись щитом-зеркалом.
Проведенная американскими спецслужбами операция, в результате которой им удалось взломать сам вирус и заставить его уничтожить самого себя, редка, но не уникальна. Этот метод, для которого по американским законам требуется специальная санкция суда на подключение ФБР к зараженным компьютерам, применялся в 2021 году для нейтрализации вируса Cyclops Blink. Разработку Cyclops Blink связывали с группировкой Sandworm. Как неоднократно сообщали правительства США, Германии, Франции и других стран, Sandworm является подразделением ГРУ, атаковавшим в числе прочего энергосистему Украины. Кроме того, в 2021 году таким же методом была пресечена деятельность хакерской группы Hafnium, связанной с правительством Китая.
Агентство по кибербезопасности и защите инфраструктуры США в понедельник также выпустило подробную инструкцию, в которой описываются методы работы вируса Snake и способы его нейтрализации.
Как говорится в опубликованном Министерством юстиции США аффидевите, составленном сотрудником ФБР для поддержки обращения ведомства в суд за разрешением на операцию по нейтрализации вируса, Snake был обнаружен на компьютере как минимум одного журналиста американского СМИ, писавшего о деятельности российских властей. Имя этого журналиста и СМИ не называются.
В аффидевите отмечается, что вирус не был предназначен для массового заражения и использовался выборочно против целей и жертв, которых ФСБ считало самыми важными, – это позволяло ему дольше оставаться незамеченным. Обо всех технических возможностях Snake, говорится в документе, не знали даже некоторые из работавших с ним сотрудников российской спецслужбы. В числе этих возможностей был и глубоко замаскированный кейлоггер, отслеживавший все нажатия клавиш на компьютере жертвы и позволявший похищать ее пароли.
16-й центр ФСБ и высланные из ЕС российские дипломаты
Министерство юстиции США утверждает, что вирус Snake был разработан и использовался сотрудниками 16-го центра ФСБ (войсковая часть 71330). Это подтверждается и открытыми источниками, например, судебными решениями. Одно из них было принято совсем недавно: 26 апреля Арбитражный суд Москвы признал законным изъятие "для государственных нужд" здания по адресу 2-й Волконский переулок, дом 3. Владелица помещения, частный предприниматель, оспаривала стоимость компенсации за изъятое имущество, которая явно была ниже рыночной: 11,7 миллиона рублей за 90 квадратных метров в центре российской столицы. Понять, почему "хакеры ФСБ" были так заинтересованы в этой недвижимости, несложно: в этом же квартале, как следует из открытых данных, располагается главный офис 16-го центра.
16-й центр хорошо известен специалистам по кибербезопасности: 24 марта 2022 года, спустя месяц после начала полномасштабной войны в Украине, Министерство юстиции США предъявило обвинения четырем россиянам, которых сочло виновными в кибератаках на объекты энергетической инфраструктуры в Соединенных Штатах и в других странах. В их числе были трое хакеров, работавших, как утверждалось, в 16-м центре и входивших в группировки "Стрекоза" (Dragonfly), "Медведь-берсерк" (Berserk Bear), "Крадущийся йети" (Crouching Yeti) и другие. В 2012-2014 годах эти люди внедрили в 17 тысяч компьютеров предприятий энергетического сектора вирус-троян Havex, который позволил им получить доступ к системам диспетчерского управления и промышленного контроля, а в 2017-м, уже после того, как вирус был обнаружен, проникли с помощью другого вредоносного ПО в сеть атомной электростанции Wolf Creek в Канзасе.
Предшественником 16-го центра в советское время было 16-е управление КГБ СССР, занимавшееся радиоперехватом и электронной разведкой. Уже после распада Советского Союза 16-й центр был выделен из состава Федерального агентства правительственной связи и информации при президенте РФ (ФАПСИ).
В марте 2023 года Радио Свобода выяснило с помощью открытых источников, что сотрудником 16-го центра ФСБ был Алексей Александрович Иваненко. Сейчас он занимает пост первого секретаря посольства России в Сербии, а ранее, после начала полномасштабного российского вторжения в Украину, был выслан из Хорватии, где работал вторым секретарем посольства. После начала войны европейские страны выслали или внесли в "черные списки" сотни российских дипломатов, прямо обвинив некоторых из них в шпионаже. Часть высланных все равно оказалась в Европе: они были устроены на работу в посольство в Сербии, одной из немногих европейских стран, не ставших вводить санкции в отношении России.
Интересно, что и вирусы хакерской группировки "Турла", которую Минюст США связывает с 16-м центром ФСБ, использовались в том числе против "посольств и консульств в странах постсоветского пространства", – об этом говорилось в статьях специализирующегося на кибербезопасности сайта SecurityLab и сообщениях "Лаборатории Касперского" еще в 2014 году. Тогда предметом беспокойства было вредоносное ПО под двойным названием Snake/Uroburos. Для маскировки своей деятельности "Турла" использовала спутниковую интернет-связь. В середине апреля центр "Досье" опубликовал свое расследование о высланных из ЕС российских дипломатах, предположив, что многие из них занимались в числе прочего обслуживанием антенн (включая спутниковые) на крышах российских посольств в Европе – правда, по мнению авторов материала, основной целью этого оборудования был перехват разговоров.
Независимый специалист и исследователь вопросов интернет-безопасности Пол Раскагнерес впервые познакомился с вирусом Snake еще в 2014 году. Он отмечает, что по меркам того времени это действительно был один из самых продвинутых инструментов в своем роде.
"Его авторы были действительно хороши. В то время, когда я работал над Snake и Uroburos, это были действительно продвинутые программы. Мы должны помнить, что это было 10 лет назад. Дизайн и архитектура этого ПО были чрезвычайно сложными, содержали в себе инструменты для обхода систем обеспечения безопасности, причем тогда эти инструменты даже не были задокументированы. Это был серьезный код, разработанный серьезной командой".
По словам Раскагнереса, у ФБР действительно есть возможность выполнять операции, подобные той, которая заставила Snake "самоликвидироваться". Вместе с этим он отмечает, что для ФСБ потеря Snake будет очень чувствительной.
"Это окажет на них большое влияние. Потеря доступа к зараженным системам стоит дорого. Им нужно повторно заразить цели, развернуть новое вредоносное ПО. Процесс компрометирования конфиденциальной цели занимает недели или даже месяцы работы".
