Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Le ministère de la Justice annonce la cour
Le ministère de la Justice a annoncé aujourd'hui l'achèvement d'une opération autorisée par le tribunal, portant le nom de code MEDUSA, visant à perturber un réseau mondial d'ordinateurs peer-to-peer compromis par un logiciel malveillant sophistiqué, appelé "Snake", que le gouvernement américain attribue à une unité au sein de Centre 16 du Service fédéral de sécurité de la Fédération de Russie (FSB). Depuis près de 20 ans, cette unité, désignée dans les documents judiciaires sous le nom de "Turla", utilise des versions du malware Snake pour voler des documents sensibles de centaines de systèmes informatiques dans au moins 50 pays, qui ont appartenu à l'Organisation du Traité de l'Atlantique Nord (OTAN). ) gouvernements membres, journalistes et autres cibles présentant un intérêt pour la Fédération de Russie. Après avoir volé ces documents, Turla les a exfiltrés à travers un réseau secret d'ordinateurs involontairement compromis par Snake aux États-Unis et dans le monde.
L'opération MEDUSA a désactivé le malware Turla's Snake sur les ordinateurs compromis grâce à l'utilisation d'un outil créé par le FBI nommé PERSEUS, qui a émis des commandes qui ont amené le malware Snake à écraser ses propres composants vitaux. Aux États-Unis, l'opération a été exécutée par le FBI en vertu d'un mandat de perquisition délivré par la juge magistrate américaine Cheryl L. Pollak pour le district oriental de New York, qui a autorisé l'accès à distance aux ordinateurs compromis. Ce matin, le tribunal a dévoilé des versions expurgées de l'affidavit présenté à l'appui de la demande de mandat de perquisition et du mandat de perquisition émis par le tribunal. Pour les victimes en dehors des États-Unis, le FBI s'engage auprès des autorités locales pour fournir à la fois un avis d'infection par Snake dans les pays de ces autorités et des conseils de remédiation.
"Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d'ordinateurs infectés par des logiciels malveillants que le gouvernement russe utilise depuis près de deux décennies pour mener du cyberespionnage, y compris contre nos alliés de l'OTAN", a déclaré le procureur général Merrick B. Guirlande. "Nous continuerons à renforcer nos défenses collectives contre les efforts déstabilisateurs du régime russe pour saper la sécurité des États-Unis et de nos alliés."
"Grâce à une opération de haute technologie qui a retourné les logiciels malveillants russes contre eux-mêmes, les forces de l'ordre américaines ont neutralisé l'un des outils de cyberespionnage les plus sophistiqués de Russie, utilisé pendant deux décennies pour faire avancer les objectifs autoritaires de la Russie", a déclaré la sous-procureure générale Lisa O. Monaco. "En combinant cette action avec la divulgation des informations dont les victimes ont besoin pour se protéger, le ministère de la Justice continue de placer les victimes au centre de notre travail sur la cybercriminalité et de lutter contre les cyberacteurs malveillants."
"Pendant 20 ans, le FSB s'est appuyé sur le logiciel malveillant Snake pour mener un cyberespionnage contre les États-Unis et nos alliés - cela se termine aujourd'hui", a déclaré le procureur général adjoint Matthew G. Olsen de la division de la sécurité nationale du ministère de la Justice. "Le ministère de la Justice utilisera toutes les armes de notre arsenal pour lutter contre la cyberactivité malveillante de la Russie, notamment en neutralisant les logiciels malveillants par le biais d'opérations de haute technologie, en faisant un usage innovant des autorités judiciaires et en travaillant avec des alliés internationaux et des partenaires du secteur privé pour amplifier notre impact collectif."
"La Russie a utilisé des logiciels malveillants sophistiqués pour voler des informations sensibles à nos alliés, les blanchissant via un réseau d'ordinateurs infectés aux États-Unis dans une tentative cynique de dissimuler leurs crimes. Relever le défi du cyberespionnage nécessite de la créativité et une volonté d'utiliser tous les moyens légaux pour protéger notre nation et nos alliés », a déclaré le procureur américain Breon Peace pour le district est de New York. "La recherche et la réparation à distance autorisées par le tribunal annoncées aujourd'hui démontrent l'engagement de mon bureau et de nos partenaires à utiliser tous les outils à notre disposition pour protéger le peuple américain."
"L'annonce d'aujourd'hui démontre la volonté et la capacité du FBI à associer nos autorités et nos capacités techniques à celles de nos partenaires mondiaux pour perturber les cyber-acteurs malveillants", a déclaré le directeur adjoint Bryan Vorndran de la division Cyber du FBI. "En ce qui concerne la lutte contre les tentatives de la Russie de cibler les États-Unis et nos alliés à l'aide de cyber-outils complexes, nous n'hésiterons pas dans notre travail pour démanteler ces efforts. Lorsqu'il s'agit de tout État-nation engagé dans des cyber-intrusions qui mettent notre sécurité nationale à risque, le FBI utilisera tous les outils disponibles pour imposer des coûts à ces acteurs et pour protéger le peuple américain. »
Comme détaillé dans les documents judiciaires, le gouvernement américain enquête sur Snake et les outils malveillants liés à Snake depuis près de 20 ans. Le gouvernement américain a surveillé les agents du FSB affectés à Turla qui effectuaient des opérations quotidiennes à l'aide de Snake depuis une installation connue du FSB à Riazan, en Russie.
Bien que Snake ait fait l'objet de plusieurs rapports de l'industrie de la cybersécurité tout au long de son existence, Turla a appliqué de nombreuses mises à niveau et révisions, et l'a déployé de manière sélective, le tout pour s'assurer que Snake reste l'implant de malware de cyberespionnage à long terme le plus sophistiqué de Turla. À moins d'être interrompu, l'implant Snake persiste indéfiniment sur le système d'un ordinateur compromis, généralement non détecté par le propriétaire de la machine ou les utilisateurs autorisés. Le FBI a observé Snake persister sur des ordinateurs particuliers malgré les efforts d'une victime pour remédier à la compromission.
Snake offre à ses opérateurs Turla la possibilité de déployer à distance des outils malveillants sélectionnés pour étendre la fonctionnalité de Snake afin d'identifier et de voler des informations et des documents sensibles stockés sur une machine particulière. Plus important encore, la collection mondiale d'ordinateurs compromis par Snake agit comme un réseau peer-to-peer secret, qui utilise des protocoles de communication personnalisés conçus pour entraver les efforts de détection, de surveillance et de collecte par les services de renseignement électromagnétiques occidentaux et autres.
Turla utilise le réseau Snake pour acheminer les données exfiltrées des systèmes cibles via de nombreux nœuds relais dispersés à travers le monde vers les opérateurs Turla en Russie. Par exemple, le FBI, ses partenaires de la communauté américaine du renseignement, ainsi que des gouvernements étrangers alliés, ont surveillé l'utilisation par le FSB du réseau Snake pour exfiltrer des données à partir de systèmes informatiques sensibles, y compris ceux exploités par des gouvernements membres de l'OTAN, en acheminant la transmission de ces données volées par le biais d'ordinateurs involontairement compromis par Snake aux États-Unis.
Comme décrit dans les documents judiciaires, grâce à l'analyse du malware Snake et du réseau Snake, le FBI a développé la capacité de déchiffrer et de décoder les communications Snake. Grâce aux informations recueillies lors de la surveillance du réseau Snake et de l'analyse des logiciels malveillants Snake, le FBI a développé un outil nommé PERSEUS qui établit des sessions de communication avec l'implant de logiciels malveillants Snake sur un ordinateur particulier et émet des commandes qui provoquent la désactivation de l'implant Snake sans affecter l'ordinateur hôte. ou des applications légitimes sur l'ordinateur.
Aujourd'hui, pour responsabiliser les défenseurs des réseaux dans le monde entier, le FBI, la National Security Agency, la Cybersecurity and Infrastructure Security Agency, la Cyber Command Cyber National Mission Force des États-Unis et six autres agences de renseignement et de cybersécurité de chacun des pays membres de Five Eyes ont publié un rapport conjoint avis de cybersécurité (l'avis conjoint) contenant des informations techniques détaillées sur le logiciel malveillant Snake qui permettront aux professionnels de la cybersécurité de détecter et de corriger les infections par le logiciel malveillant Snake sur leurs réseaux. Le FBI et le Département d'État américain fournissent également des informations supplémentaires aux autorités locales dans les pays où se trouvent des ordinateurs ciblés par le logiciel malveillant Snake.
Bien que l'opération MEDUSA ait désactivé le logiciel malveillant Snake sur les ordinateurs compromis, les victimes doivent prendre des mesures supplémentaires pour se protéger contre d'autres dommages. L'opération de désactivation de Snake n'a corrigé aucune vulnérabilité ni recherché ou supprimé de logiciels malveillants ou d'outils de piratage supplémentaires que les groupes de piratage auraient pu placer sur la victime. Le ministère de la Justice encourage fortement les défenseurs du réseau à consulter l'avis conjoint pour obtenir des conseils supplémentaires sur la détection et la correction. De plus, comme indiqué dans les documents judiciaires, Turla déploie fréquemment un "enregistreur de frappe" avec Snake que Turla peut utiliser pour voler les identifiants d'authentification de compte, tels que les noms d'utilisateur et les mots de passe, des utilisateurs légitimes. Les victimes doivent être conscientes que Turla pourrait utiliser ces informations d'identification volées pour accéder frauduleusement à des ordinateurs compromis et à d'autres comptes.
Le FBI a notifié l'opération autorisée par le tribunal à tous les propriétaires ou opérateurs des ordinateurs accessibles à distance conformément au mandat de perquisition.
L'assistant du procureur américain Ian C. Richardson pour le district est de New York poursuit l'affaire, avec l'aide précieuse fournie par la section de contre-espionnage et de contrôle des exportations de la division de la sécurité nationale.
Les efforts visant à perturber le réseau de logiciels malveillants Snake ont été menés par le bureau extérieur du FBI à New York, la division cyber du FBI, le bureau du procureur américain pour le district oriental de New York et la section de contre-espionnage et de contrôle des exportations de la division de la sécurité nationale. La section de la criminalité informatique et de la propriété intellectuelle de la division criminelle a apporté une aide précieuse. Ces efforts n'auraient pas été couronnés de succès sans le partenariat de nombreuses entités du secteur privé, y compris les victimes qui ont permis au FBI de surveiller les communications de Snake sur leurs systèmes.