Os protocolos de comunicação personalizados do Snake utilizam encriptação e fragmentação para manter a confidencialidade e são concebidos para dificultar os esforços de deteção e recolha.
Por Michael Hill
As agências de segurança de cinco países emitiram um comunicado conjunto que revela pormenores técnicos sobre uma ferramenta de espionagem utilizada pelos ciberataques russos contra os seus alvos. O malware Snake e as suas variantes têm sido um componente central nas operações de espionagem do país conduzidas pelo Centro 16 do Serviço Federal de Segurança (FSB) durante quase duas décadas, de acordo com o comunicado.
Identificado na infraestrutura de mais de 50 países da América do Norte, América do Sul, Europa, África, Ásia e Austrália, os protocolos de comunicação personalizados do Snake utilizam encriptação e fragmentação para manter a confidencialidade e são concebidos para dificultar os esforços de deteção e recolha. A nível mundial, o FSB tem utilizado o Snake para recolher informações sensíveis de alvos de elevada prioridade, como redes governamentais, instalações de investigação e jornalistas.
O alerta foi emitido pelo Federal Bureau of Investigation (FBI) dos EUA, pela National Security Agency (NSA) dos EUA, pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA, pela Cyber National Mission Force (CNMF) dos EUA, e por mais doze agências norte americanas, pelo Centro Nacional de Cibersegurança do Reino Unido (NCSC), o Centro Canadiano de Cibersegurança (CCCS), o Estabelecimento Canadiano de Segurança das Comunicações (CSE), o Centro Australiano de Cibersegurança (ACSC) e o NCSC da Nova Zelândia. Foi concebido para ajudar as organizações a compreender o modo de funcionamento do Snake e apresenta sugestões de medidas de atenuação para ajudar a defender-se da ameaça.
A operação MEDUSA neutraliza a campanha do malware Snake
No mesmo dia em que o aviso foi publicado, o Departamento de Justiça dos EUA anunciou a conclusão de uma operação autorizada pelo tribunal, com o nome de código MEDUSA , para desactivar uma rede global de computadores peer-to-peer comprometida pelo malware Snake. A operação MEDUSA desativou o malware Snake nos computadores comprometidos utilizando uma ferramenta criada pelo FBI chamada PERSEUS, que emitia comandos que faziam com que o malware Snake substituísse os seus próprios componentes vitais.
“Este anúncio demonstra a vontade e a capacidade do FBI de combinar as nossas autoridades e capacidades técnicas com as dos nossos parceiros globais para desmantelar os ciber-actores maliciosos”, afirmou o Director Assistente Bryan Vorndran da Divisão Cibernética do FBI. “Quando se trata de combater as tentativas da Rússia de atacar os EUA e os nossos aliados utilizando ferramentas cibernéticas complexas, não vacilaremos no nosso trabalho para desmantelar esses esforços.”
A sofisticação do malware Snake tem origem em três áreas principais
O Snake é considerado a ferramenta de ciberespionagem mais sofisticada do arsenal do FSB e tem origem em três áreas principais, lê-se no comunicado. “Em primeiro lugar, o Snake emprega meios para atingir um nível raro de invisibilidade nos seus componentes de comunicações de rede e de anfitrião. Em segundo lugar, a arquitetura técnica interna do Snake permite a fácil incorporação de componentes novos ou de substituição. Finalmente, o Snake demonstra uma cuidadosa conceção e implementação de engenharia de software, e o implante contém surpreendentemente poucos bugs, dada a sua complexidade.”
O FSB também implementou novas técnicas para ajudar o Snake a evitar a deteção, sendo que a eficácia do implante de ciberespionagem assenta na sua capacidade de se manter furtivo a longo prazo para proporcionar um acesso constante a informações importantes. “Os aspetos excecionalmente sofisticados do Snake representam um esforço significativo do FSB ao longo de muitos anos para permitir este tipo de acesso secreto”.