FBI legt netwerk Russische Snake-malware die al twintig jaar actief is plat

De FBI heeft een manier gevonden om het netwerk van de Snake-malware af te sluiten. Volgens de VS is die malware afkomstig van de Russische FSB en wordt deze al bijna twintig jaar gebruikt om onder meer te proberen gevoelige gegevens te stelen.

Het Amerikaanse Ministerie van Justitie verkreeg maandag toestemming van de rechtbank om de infrastructuur achter de Snake-malware af te sluiten. De FBI heeft vervolgens een eigen ontwikkelde tool, Perseus, op afstand ingezet bij acht gecompromitteerde computers in de VS, zo zegt de veiligheidsdienst tijdens een persconferentie waar onder meer The Register over schrijft. Die tool stuurt opdrachten naar de Snake-malware en zorgt ervoor dat deze zichzelf vernietigt.

De FBI zegt samen te werken met lokale autoriteiten in andere landen om Snake-infecties te melden en advies te geven over hoe deze verholpen kunnen worden. Daarnaast heeft de VS samen met onder meer Canada en Australië een uitgebreid document gepubliceerd waarin uitgelegd wordt hoe regeringen zelf Snake-besmettingen op kunnen sporen en kunnen verhelpen.

De VS stelt dat de Snake-malware al sinds 2004 gebruikt wordt. Er zouden 'honderden computers' mee geïnfecteerd zijn in meer dan vijftig landen, waaronder meerdere NAVO-landen, stelt de VS. De malware zou gebruikt zijn om gevoelige documenten te stelen. In de VS zou de malware ook ingezet zijn bij onderwijsinstellingen, kleine bedrijven en mediaorganisaties.

De malware is afkomstig van de Russische cyberspionagegroep Turla, die volgens Amerika gelieerd is aan de Russische Federale Veiligheidsdienst, de FSB. De activiteiten van Turla zouden dan ook afkomstig zijn van een FSB-faciliteit. De FBI noemt deze malware 'de belangrijkste spionagetool' van de veiligheidsdienst.

De tool werkt met een peer-to-peernetwerk, waarbij de geïnfecteerde computers dienen als relay nodes om de gestolen gegevens van computer naar computer door te sluizen. De malware zorgde dus niet alleen voor data-exfiltratie, maar ook liet deze de gecompromitteerde computers met elkaar communiceren. Daarnaast werd er gebruikgemaakt van speciale, gecodeerde communicatieprotocollen waardoor de malwareactiviteit moeilijk te detecteren was. Het kostte de FBI naar eigen zeggen meerdere jaren om het netwerkverkeer van Snake te kunnen volgen, en om de communicatieprotocollen te decoderen.

Door Kevin Krikhaar

Redacteur

Feedback • 10-05-2023 10:40
34 • submitter: Dannyvrf

10-05-2023 • 10:40

34

Submitter: Dannyvrf

Lees meer

'Russische FSB hackte jarenlang Britse politici om geheimen te laten uitlekken'
'Russische FSB hackte jarenlang Britse politici om geheimen te laten uitlekken' Nieuws van 7 december 2023
Apple ontkent Russische aantijgingen over betrokkenheid bij NSA-spionagecomplot
Apple ontkent Russische aantijgingen over betrokkenheid bij NSA-spionagecomplot Nieuws van 2 juni 2023
NSA en NCSC: Russische staatshackers kaapten tools van Iraanse collega's
NSA en NCSC: Russische staatshackers kaapten tools van Iraanse collega's Nieuws van 21 oktober 2019
Belgisch ministerie heeft Snake-virus na drie maanden volledig verwijderd
Belgisch ministerie heeft Snake-virus na drie maanden volledig verwijderd Nieuws van 6 augustus 2014
België screent alle overheidsdiensten op spionagesoftware
België screent alle overheidsdiensten op spionagesoftware Nieuws van 16 mei 2014
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht FBI Malware

Reacties (34)

-Moderatie-faq
34
32
18
1
0
0
Wijzig sortering
Anonymoussaurus 10 mei 2023 10:45
Het ministerie en de CISA hebben hier gisteren uitgebreide analyses en blogs over gepost:

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 22:07]

straaljager27 @Anonymoussaurus10 mei 2023 15:14
Fascinerende links, vooral die cisa.gov, dank je wel.
bartje 10 mei 2023 11:00
gisteren las ik het artikel op NOS, nu hier,
maar uit het artikel bij NOS bleek dat de amerikanen dit al 20 jaar weten en volgen, en er nu pas echt actie ondernomen wordt, vraag me as waarom ze dit niet 20 jaar eerder gedaan hebben?
ok, het duurde meerdere jaren, maar dat zal niet de volledige 20 zijn?
mati1983 @bartje10 mei 2023 11:11
Het feit dat je weet dat iets bestaat, betekent niet dat je er ook iets (direct/al) aan kunt doen. Leuk voorbeeld: in de 16e/17e eeuw hebben we hier 80 jaar oorlog gehad. Neem aan dat men dat toen ook wist. Snap niet dat ze daar niet eerder dan 80 jaar iets aan gedaan hebben. :Y)

Het zal vanuit de FSB ongetwijfeld slimme/complexe software zijn, waar geen (of zoals nu blijkt uiteindelijk na 20 jaar heel lastig) makkelijke oplossing voor te vinden is.
Aldy @mati198310 mei 2023 15:40
Daarnaast zijn de VS een rechtstaat (of staten?), want ik lees dat ook de rechter toestemming daarvoor moest geven. Dat zal ook niet één dag geduurd hebben.
Teigetje! @Aldy11 mei 2023 11:54
Als je weet dat het netwerk bestaat kan je het ook gebruiken om valse informatie aan de tegenstander te voeren. In dit soort zaken kom je gewoon niet te weten hoe de vork werkelijk aan de steel zit. Je hoort wat ze willen dat je hoort en de rest blijft geheim.
batteries4ever @mati198310 mei 2023 12:44
Nee hoor tijdens de 80 jarige oorlog wisten ze per definitie niet hoe lang die ging duren.. ;)
Dat is denkelijk het grootste probleem bij oorlog: vaak wordt het voorgesteld als "dat doen we even" en dat het dan toch tegenvalt, zie Oekraine: als Putin dat van te voren geweten had, was hij er waarschijnlijk niet aan begonnen...
robertlinke @mati198310 mei 2023 11:13
oh dat hebben ze ook gedaan, er was een tijdje een wapenstilstand. maar die ging helaas kapot, en toen begon het het weer :+
batjes @mati198310 mei 2023 11:46
De 80-jarige oorlog heeft niet 80 jaar geduurd.
mati1983 @batjes10 mei 2023 12:00
Hoezo niet? Ja, er was een twaalf-jarig bestand, maar ook toen was men formeel gewoon in oorlog met elkaar.
JeroenED @bartje10 mei 2023 11:10
Waarschijnlijk een gevalletje "Know your enemy". Door te weten welke pc's gecomprommiteerd zijn, kun je gaan monitoren wat ze doorsluizen en daardoor je plannen voor Syrië of Oekraïne aanpassen of zelfs de Russische plannen de verkeerde richting insturen.
Jaldea @JeroenED10 mei 2023 16:32
Iets met Enigma-code.
RCBL @JeroenED10 mei 2023 12:24
Dan is het niet handig dat netwerk op te rollen.....
MilanSxD @RCBL10 mei 2023 13:15
Misschien dat het daarom 20 jaar geduurd heeft voor ze het oprollen.
Veel Russische taktische data is gelekt, mogelijk vanwege het inzien en manipuleren van de malware infrastructuur. Maar dat heeft uiteindelijk zijn limitaties en mischien zijn nut uitgeleefd, waarna het netwerk wordt opgerold.

Is allemaal hypothese hoor, heb 0% zekerheid.
mcDavid @RCBL10 mei 2023 13:12
Dat ligt eraan. Het kan ook zijn dat er recente ontwikkelingen zijn die tot een andere beslissing leiden. Als dit inderdaad het geval is (wat ik overigens betwijfel), kan ik me bijvoorbeeld voorstellen dat ze zien dat de mallware sinds kort actiever gebruikt wordt om schade toe te richten, en daarom besloten hebben in actie te komen. Of juist andersom, dat er weinig boeiends meer uit geleerd wordt, en dat het gewoon opgeruimd is om geen onnodige achterdeurtjes open te laten.
JeroenED @RCBL10 mei 2023 13:41
is inderdaad niet handig dan om het op te rollen, maar dit is sowieso iets dat je maar tijdelijk kan gebruiken. De amerikanen beseffen maar al te goed dat ze russische spionnen in hun rangen hebben. Dus moet je voor zo'n zaken ook op tijd de stekker eruit trekken zodat de data die je zelf mee binnentrekt authentiek blijft, want als de amerikanen de boel kunnen belazeren, kunnen de russen dat zeker.
TheVivaldi @bartje10 mei 2023 11:23
Omdat recherchewerk altijd lang duurt? Alles moet immers grondig onderzocht worden en dit netwerk was geen klein netwerk.

[Reactie gewijzigd door TheVivaldi op 25 juli 2024 22:07]

RM-rf @bartje10 mei 2023 11:27
interessant voorbeeld uit de geschiedenis:
https://en.wikipedia.org/wiki/Operation_Gold

in de jaren vijftig maakten de engelse MI6 en de amerikaanse CIA een 450-meters-lange tunnel onder oost-berlijn om russische en oost-duitse telefoonlijnen af te kunnen tappen.
Interssant daarbij was dat de KGB zelf daarvan op de hoogte was, al vanaf het begin (sterker nog, één van hun dubbel-spionnen was bij de initiele meetings zelf aanwezig en gaf alles vanaf het begin door), maar het naliet andere veiligheidsdiensten (specifiek de Stasi en de GRU) ervan op de hoogte te stellen.
Tegelijkrtijd betekende het voor de amerikanen en engelsen niet dat ze ook daadwerkelijk veel konden doen met de informatie... de russische encryptie wisten ze niet te breken, maar ze hadde wel veel andere zijdelingse informatie via niet-versleutelde communicatie.
Echter men kon er niet zomaar op handelen om niet te snel te verraden dat ze deze informatie op deze wijze verkregen.
Tegelijkertijd liet de KGB na op te treden tegen de tunnel waarvan ze op de hoogte waren, om hun eigen informant niet teveel te laten opvallen.

Nuttig was het vooral ook om andere bronnen (vooral informanten en overlopers) te kunnen cross-checken

https://en.wikipedia.org/wiki/Operation_Gold
KoffieAnanas @bartje10 mei 2023 11:28
De reden staat mogelijk in de laatste zin van het artikel.
Het kostte de FBI naar eigen zeggen meerdere jaren om het netwerkverkeer van Snake te kunnen volgen, en om de communicatieprotocollen te decoderen.
Kortom, als de FBI in staat is geweest het netwerkverkeer te volgen de communicatie te decoderen, bijvoorbeeld door eigen computers aan het peer-to-peer netwerk toe te voegen, weet je precies welke informatie de Russen buitmaken. Dat levert je spionage technisch een voordeel op. De Russen gaan er namelijk vanuit dat de verkregen informatie waardevol en betrouwbaar is, echter de FBI kan ervoor zorgen dat de gelekte documenten geen impact hebben op de veiligheid door direct tegenmaatregelen te nemen.

Wellicht is na 20 jaar de malware minder efficient geworden en heeft de FBI besloten er nu een punt achter te zetten.
vinkjb 10 mei 2023 11:49
Als ze dit al 20jaar weten vraag ik me dan af zouden ze dan bewust valse informatie gelekt hebben.
Wat mij dan logisch zou lijken om de boel te misleiden.
Accretion @vinkjb10 mei 2023 22:06
Maar als de Russen doorhebben dat je valse informatie stuurt. Weten ze dus ook meteen dat jij toegang hebt tot het netwerk.

Net zoals ze na het kraken van de enigma code niet de boten konden waarschuwen voor de aanval van onderzeeërs.
Want als de schepen opeens om zouden draaien, zouden de Duitsers door kunnen hebben dat de encryptie gekraakt is.

Dat ze d'r zelf ook lekker van geprofiteerd hebben; is dan wel weer realistisch, maar ook andersom kunnen de Russen het gebruiken om valse informatie te lekken :p
dasiro 10 mei 2023 11:58
ik veronderstel dat er in de loop der jaren wel updates van de malware zijn geweest, anders hebben ze hem wel héél goed in elkaar geknutseld dat het bijna 20 jaar geduurd heeft om hem uit te kunnen schakelen.

Het feit dat er maar zo weinig systemen geïnfecteerd zijn duidt er waarschijnlijk op dat maar heel specifieke systemen als target werden geflagd, wat het moeilijker maakt om te infiltreren.
DePruus 10 mei 2023 14:07
Ik zeg, stel, stel dat, America dit al langer weet, en op de geïnfecteerde machines valse informatie heeft laten opslaan, en nog meer rare onzin zoals fake tekeningen en meer. Daardoor wordt uiteindelijk het hele netwerk op termijn onschadelijk. De onderzoekende -lees hacker- partij kan niet onderscheiden wat nog echt is. Want die denkt, het is stiekem afgetrapts, dus zal het juist zijn. Slim.
Plux 10 mei 2023 11:00
Ik snap dat verhaal van het relais niet, kan iemand daar dieper op ingaan?

[Reactie gewijzigd door Plux op 25 juli 2024 22:07]

RoestVrijStaal @Plux10 mei 2023 11:30
Ik denk dat het een autocorrect-fout is i.c.m. een onnodige vertaling van Engels naar Nederlands, waardoor er verwarring ontstaat.

In termen van networking bestaat er niet zoiets als "relaisknooppunten". Wat er waarschijnlijk hoort te staan, is "relay nodes", wat slaat op nodes van een relay network
gaskabouter 10 mei 2023 10:49
Onder verkeerde gepost. Maar verwijderen kan niet?

[Reactie gewijzigd door gaskabouter op 25 juli 2024 22:07]

Ro-Maniak2 10 mei 2023 10:51
Wat is een gecomprimeerde computer??
SKLCH @Ro-Maniak210 mei 2023 10:54
Daar zal "gecompromitteerd" worden bedoeld.
AverageNL Nieuwsredacteur @SKLCH10 mei 2023 11:08
Klopt! We hebben het aangepast, bedankt voor het opmerken (ook aan @Ro-Maniak2 uiteraard) :)
polord1 @Ro-Maniak210 mei 2023 11:02
https://www.tweaktown.com...ng-achievement/index.html
MiteZZ @polord110 mei 2023 11:19
Haha nice!
sjonie100 @Ro-Maniak210 mei 2023 12:18
Ken je die machines die kleine pakketjes maken van auto's?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq