Las autoridades estadounidenses han deshabilitado el malware supuestamente utilizado por la agencia de espionaje de Rusia para robar documentos confidenciales durante dos décadas en docenas de países, incluidos los gobiernos miembros de la OTAN.
El Departamento de Justicia de EE. UU. dijo el martes que el software malicioso había sido desplegado durante casi 20 años por una unidad del Servicio Federal de Seguridad de Rusia para apropiarse indebidamente de material de cientos de sistemas informáticos en al menos 50 países vinculados a periodistas y estados miembros de la OTAN.
“Rusia usó malware sofisticado para robar información confidencial de nuestros aliados, lavándola a través de una red de computadoras infectadas en los Estados Unidos en un intento cínico de ocultar sus crímenes”, dijo Breon Peace, fiscal federal para el Distrito Este de Nueva York. una declaración.
El malware, llamado «Snake», sigue siendo el «implante de malware de ciberespionaje a largo plazo más sofisticado» desplegado por la unidad del FSB en cuestión, conocida como Turla, dijo el Departamento de Justicia.
“Turla es un actor de ciberespionaje ruso y uno de los grupos de intrusión más antiguos que rastreamos, existiendo de alguna forma desde la década de 1990 y centrado en los objetivos clásicos del espionaje: el gobierno, el ejército y el sector de defensa”, dijo John Hultquist, jefe de Mandiant Intelligence Analysis, propiedad de Google.
Si bien parte del trabajo de Turla había sido expuesto previamente en un puñado de incidentes que se remontan a principios de la década de 2000, «estos eventos se ven superados por una amplitud de actividad que pasa desapercibida», dijo. “Turla se centra en gran medida en la seguridad operativa y el sigilo, y con ese fin han innovado constantemente”.
La colección de computadoras infectadas en todo el mundo creó una «red encubierta de igual a igual» que obstruyó el monitoreo de los servicios de inteligencia adversarios, según una declaración jurada presentada por un agente del FBI. La red también reforzó la capacidad de las computadoras para mover grandes cantidades de datos de forma subrepticia y comunicarse entre sí. “Snake” comprometió los dispositivos “indefinidamente”, a veces durante años, a pesar de los esfuerzos para combatir el malware, agregó el agente.
Durante su investigación de “Snake”, el FBI descubrió que Turla usó el malware para robar lo que “se creía que eran” documentos internos de la ONU y la OTAN de una computadora vinculada al Ministerio de Relaciones Exteriores de un estado miembro de la OTAN, según la declaración jurada. .
La unidad del FSB supuestamente también usó el software en una computadora personal de un periodista que había informado sobre el gobierno ruso para una empresa de medios de comunicación estadounidense.
El FBI detalló una operación compleja para probar primero un medio técnico para interrumpir el dominio que “Snake” tenía en algunas computadoras en los EE. UU., y luego expandirlo a las miles de computadoras potencialmente infectadas con el malware en todo el mundo.
Apodada Operación Medusa, basándose en el uso recurrente de un motivo de Uroboros, una imagen de una serpiente que se muerde la cola, por parte de los codificadores del FSB, el FBI parece haber engañado al malware para que confunda las instrucciones del FBI con las instrucciones de sus operadores. o de huéspedes infectados de manera similar, según la declaración jurada.
Los comandos, enviados a través de un programa personalizado del FBI llamado Perseo, quien en la mitología griega mató a Medusa, esencialmente causaron que el malware se autodestruyera y es fácilmente replicable a escala.
Merrick Garland, fiscal general de Estados Unidos, dijo: “Seguiremos fortaleciendo nuestras defensas colectivas contra los esfuerzos desestabilizadores del régimen ruso para socavar la seguridad de Estados Unidos y nuestros aliados”.
La interrupción se produce a raíz de varias acciones coordinadas por parte de las autoridades estadounidenses en redes criminales y de espionaje vinculadas a Rusia, incluido el uso de matemáticas complejas para rastrear a los propietarios de billeteras Bitcoin que reciben pagos de ransomware. En enero, las autoridades se infiltraron en un grupo de ransomware y proporcionaron sus claves de descifrado a las víctimas.
La embajada rusa en Estados Unidos no respondió de inmediato a una solicitud de comentarios.