Május elején lekapcsolták a történelem során kifejlesztett egyik legkifinomultabb kiberkémkedési programot. Az orosz FSZB Snake (azaz Kígyó) nevű kémszoftvere éveken át lappangott a NATO, a nyugati kormányok és más országok számítógépeiben. Íme, mit jelent az, hogy az amerikai, brit és más ügynökségek megfékezték a működését – és mit nem jelent.
Több mint egy évtizeden keresztül egy egyedülállóan rosszindulatú számítógépes kód bújt meg több mint ötven ország számítógépes szervereinek legmélyebb zugaiban. Titokban adatokat gyűjtött, sőt még azt is feljegyezte, hogy az illető mit gépel a billentyűzeten. A fontos információkat kinyerték és – más fertőzött számítógépek hálózatán keresztül, a nyomokat elrejtve – visszaküldték a kód készítőinek.
A különböző neveken – Snake, Uroburos, Venomous Bear (Mérgező Medve) – emlegetett malware-re, avagy rosszindulatú programra mutogattak a német külügyminisztérium elleni káros 2017-es hekkertámadás kapcsán. Jelentések szerint az akciókban NATO-számítógépeket nyitottak fel – miközben egy amerikai médiumnak dolgozó, az orosz kormányról tudósító újságíró személyi számítógépe volt a célpont.
Május elején az Egyesült Államok, Nagy-Britannia, Kanada és két másik ország hatóságai bejelentették, hogy gyakorlatilag kiiktatták a kártevőt, megzavarva egy olyan hatékony megfigyelési eszközt, amelyet – állításuk szerint – a 16-os központ, Oroszország fő hírszerző ügynökségének, a Szövetségi Biztonsági Szolgálatnak egy élvonalbeli kiberegysége fejlesztett ki.
A Kígyó „a legkifinomultabb kiberkémkedési eszköz volt, amelyet az orosz Szövetségi Biztonsági Szolgálat 16-os központja tervezett és használt érzékeny célpontokról szóló hosszú távú hírszerzésre” – közölte az amerikai kormány kiberügynöksége.
A rosszindulatú szoftver fejlesztői „nagyon ügyesek voltak” – mondta Paul Rascagneres informatikai biztonsági kutató, aki 2014-ben az elsők között azonosította a Kígyót. „A tervezés és a kártevő architektúrája rendkívül fejlett volt, olyan biztonsági intézkedések kikerülésére írt módszerekkel, amelyeket akkor még nem dokumentáltak. (…) Komoly kód volt, amelyet egy komoly csapat fejlesztett ki.”
Adam Myers, a Crowdstrike amerikai kiberbiztonsági vállalat hírszerzési vezetője szerint azt, hogy az amerikai kormány és a többi ország partnerügynökségei ennyi információt adtak ki az FSZB egységéről, valamint a rosszindulatú szoftver mögött álló kód és program megírásának titkos részleteiről, üzenetnek szánták.
„Ez azt jelenti, hogy az amerikai kormány proaktívabb álláspontot képvisel ezekkel a dolgokkal kapcsolatban (…) amelyek már több mint egy évtizede léteznek” – mondta Myers.
„Ez egy jelzés az orosz kormánynak, az orosz hírszerző szolgálatoknak, és azt üzeni: Látunk titeket, tudjuk, mit csináltok, és ha megfelel nekünk, megzavarunk titeket az általunk kiválasztott helyen és időben” – mondta.
A bejelentéssel egy napon nyilvánosságra hozott bírósági beadványokban az igazságügyi minisztérium azt állította, hogy a kémkedési akció nagyon következetes volt, és hogy a hekkerek érzékeny dokumentumokat loptak el a NATO-országoktól.
Az FSZB nem kommentálta a vádakat.
Bennfentes viccek, személyes érintettség és gúnyolódás
Oroszország hírszerző és biztonsági szervei egymást átfedő, olykor egymással versengő kiberműveleteket folytatnak. A legpusztítóbb ismert kiberfegyverek közül néhányat – például a Sandwormot és a NotPetyát – az orosz katonai hírszerző ügynökség, a GRU fejlesztette ki. Ezt az ügynökséget és egy másikat, a Külföldi Hírszerző Szolgálatot (SVR) 2016-ban azzal vádolták, hogy amerikai politikai kampányszervezetek hálózatait törte fel.
Az FSZB két ismert kiberegységgel rendelkezik. Az elsőt, a 18-as központot, vagyis az Információbiztonsági Központot 2019-ben nagy árulási botrány borzolta fel.
A másik a 16-os központ, hivatalos nevén a Rádióelektronikus Hírszerzési Kommunikációs Eszközökkel Foglalkozó Központ, avagy a 71330-as katonai egység, amely az FSZB jelhírszerzési képességeit felügyeli, beleértve a kommunikáció lehallgatását, a titkosításfeltörést és az adatfeldolgozást.
Egy május 9-én nyilvánosságra hozott FBI-nyilatkozat szerint a Kígyót először 2003-ban vagy 2004-ben fejlesztette ki a 16-os központ. A korai változatokban egy ősi szimbólum, az Uroboros – más néven Ouroboros – képe szerepelt, amelyen egy sárkány vagy kígyó látható, amint a saját farkába harap. A kód egy része tartalmazta az Ur0bUr()sGoTyOu# karakterláncot is, azaz azt, hogy Elkapott titeket az Uroboros. Az FBI közölte, hogy az FSZB egységét Turla néven azonosította.
„A Kígyó az egység működésének központi eleme volt majdnem olyan régóta, mint amióta a 16-os központ az FSZB része” – áll a nyilatkozatban.
„A csoport általános, tartós tevékenységét szemlélve valószínűleg ők voltak az aktívabbak és professzionálisabbak, szemben például az orosz hadsereg által alkalmazott más műveletekkel” – mondta Michael Sandee, a Fox-IT holland digitális nyomozó cég kutatója.
„Ez egy szuperkomplikált kártevő” – mondta Myers.
Az FSZB programozói, akik a kémprogram korai verzióit fejlesztették, gyakran fűszerezték meg a kódot „bennfentes viccekkel, személyes érdeklődésükre utaló és a biztonsági kutatóknak címzett gúnyolódásokkal” – ami gyakori a programozók körében. Ezek a nyomok a malware fejlődése során is azonosíthatók maradtak, mondta az FBI, „ezek segítették az amerikai kormányt abban, hogy az FSZB-hez tudja kötni a Kígyó létrehozását”.
Az FBI szerint egyik esetben az Ur0bUr()sGoTyOu# karakterláncot 2014-ben a gLASs D1cK karakterláncra cserélték, miután a kiberkutatók elkezdték nyilvánosságra hozni a Kígyó, más néven Uroburos malware létezését.
A nyomozók elmondták, hogy sikerült bemérni a Moszkvától délkeletre fekvő Rjazany városában az FSZB egyik távmunkahelyszínét, ahol a szolgálat programozói jobbára rendes munkaidőben dolgoztak.
Újságírói célpontok
Az amerikai tisztviselők elmondták, hogy közel két évtizede figyelték a Turla és a Kígyóhoz kapcsolódó rosszindulatú szoftverek változatait. Brit tisztviselők eközben tavaly azt mondták, hogy a 16-os központot „legalább 2010 óta szemmel tartották a kiberműveletek végrehajtása során”.
Az FBI szerint 2015-től kezdődően a Kígyó által ellopott adatokat és más titkosított kommunikációt figyeltek meg, amelybe „egy NATO-tagállam” külügyminisztériuma is belekeveredett. Az FBI szerint 2017 és 2020 között hasonló megfigyelési tevékenységre került sor, amely egy másik NATO-tagállam kormányát érintette.
Egyik országot sem azonosította az FBI vagy az FBI-jal együttműködő más biztonsági ügynökség. Németországot azonban 2015-től egy hónapokig tartó, tömeges károkat okozó hekkertámadás érte. Az akció célpontja a parlament, a külügyminisztérium, az energetikai infrastruktúra és más ügynökségek voltak.
A német belföldi hírszerző ügynökség, a BfV 2018-ban különösen veszélyesnek nevezte a hekkereket.
2019-ben az amerikai és a brit biztonsági ügynökségek ajánlást adtak ki, amelyben a Turla által felügyelt hekkerkampányra figyelmeztettek, amely legalább 35 ország számítógépeit vette célba főként a Közel-Keleten.
Az FBI megállapította, hogy az FSZB hekkerei „a Kígyót használták, hogy célba vegyék egy, az Orosz Föderáció kormányáról tudósító amerikai hírmédium újságírójának személyi számítógépét”.
Sem az újságírót, sem a hírügynökséget nem nevezték meg.
A brit hírszerzés azt is közölte, hogy a 16-os központ hekkertámadásokat és egyéb kiberműveleteket hajtott végre orosz ellenzékiek, politikai ellenfelek és orosz állampolgárok ellen.
Egy FBI-ügynök eskü alatt tett nyilatkozatában azt mondta, hogy a tisztviselők késleltették a kompromittált számítógépekkel rendelkező emberek értesítését, hogy a kutatók koordinálhassák a Kígyó kiiktatására vagy megszakítására irányuló erőfeszítéseket anélkül, hogy az FSZB beavatkozna. Az erőfeszítés a Medúza művelet nevet kapta.
„Ha a Turla a sikeres végrehajtás előtt tudomást szerzett volna a Medúza műveletről, az érintett számítógépeken lévő Kígyó malware-t és más, a Kígyó által kompromittált rendszereket használhatott volna világszerte a művelet végrehajtásának nyomon követésére, hogy megtudja, hogyan képes az FBI és a kormányok kikapcsolni a Kígyót, így meg tudta volna erősíteni a program védelmét” – írta Taylor Forry FBI-ügynök.
Horvátországi kapcsolat
Az amerikai igazságügyi minisztérium korábban a 16-os központot vette célkeresztbe: egy 2021-es vádiratban, amelyet 2022 márciusában hoztak nyilvánosságra, három FSZB-tisztet vádolt azzal, hogy adathalász támadásokat indított – például hamis e-maileket küldött, amelyekkel a címzettet egy rosszindulatú szoftver linkjére való kattintásra csábították. Ezekkel több mint ötszáz amerikai és nemzetközi vállalat több mint 3300 felhasználóját célozták meg.
Az amerikai hatóságok szerint olyan amerikai kormányzati ügynökségeket is célba vettek, mint a Nukleáris Szabályozási Bizottság.
Egy másik vádirat egy programozót nevezett meg, aki az orosz védelmi minisztérium egyik intézetének dolgozott. Ez a férfi, Jevgenyij Gladkih állítólag 2017-ben a Triton néven ismert, nagy teljesítményű rosszindulatú szoftver egyik típusát használta egy petrolkémiai üzem feltörésére.
A 16-os központ ügynökei Oroszországon kívül más helyszíneken is felbukkantak. Az egyikük egy Alekszej Ivanyenko nevű férfi volt, aki 2022 áprilisáig diplomáciai álcával dolgozott Horvátországban, amikor a horvát hatóságok bejelentették, hogy 23 másik diplomatával és a támogató személyzettel együtt kiutasítják.
A Szabad Európa által átnézett orosz kormányzati nyilvántartások kiszivárgott adatbázisa szerint Ivanyenko mérnökként dolgozott a 16-os központnál, mielőtt Horvátországba küldték volna.
A kiberszakértők véleménye megoszlott arról, hogy az intézkedés tartós károkat okoz-e a 16-os központ működésében.
„Nem valószínű, hogy hosszú távon valóban tartósan megzavarja a hírszerzési műveletet, de rövid távon valószínűleg kicsit bosszantó lesz az oroszoknak, mivel elveszítik a hozzáférést, és újra létre kell hozniuk – mondta Sandee. – Szerintem ez inkább figyelemelterelés, mint bármi más. Egyszerűen azért történik, hogy csináljunk valamit, ahelyett hogy semmit sem tennénk, ha érti, mire gondolok.”
A Kígyó malware hiányában az FSZB 16-os központ hekkerjei valószínűleg más kifejlesztett, bevethető kibereszközökkel is rendelkeznek.
„Nem akarom elvenni az amerikai kormányzat erőfeszítésének értékét – mondta Myers, de hozzátette, hogy az FSZB-nek – más eszközei is vannak (…) A rosszindulatú programok és eszközök egész arzenáljával rendelkeznek, ez csak az egyik.”
„A felszámolás egy kicsit megcsíptek őket, de nem szűntek meg, nem keresnek új munkahelyet” – mondta.
„De nagy hatással van rájuk – írta Rascagneres e-mailben. – Mindent lecserélnek, elveszítik a hozzáférést a fertőzött rendszerekhez. Ez sokba kerül. Újra kell fertőzniük a célpontokat, új malware-t kell telepíteniük, módosítani kell a lépéseiket a megcélzott hálózatban.”
„Egy érzékeny célpont feltörése hetekbe-hónapokba telik” – mondta.
