De FBI is er afgelopen maandag eindelijk in geslaagd een 25 jaar durende cyberspionage-campagne van de Russische geheime dienst FSB op te rollen. Ruim twee decennia lang wisten de Russen geheime documenten te stelen van Navo-partners en andere Westerse landen.
De Amerikanen waren de hackersgroep Turla, die nauw gelieerd is aan de inlichtingendienst uit Moskou, al langer op het spoor, maar het bleek een hels karwei de zogenoemde Snake-malware onschadelijk te maken. Telkens als de Amerikanen dachten deze cyberspionage-tool te hebben uitgeroeid, dook Snake weer in een andere gedaante op. Turla wist Snake via upgrades en allerlei aanpassingen jarenlang operationeel te houden zonder dat de Amerikanen bij machte waren het spionagenetwerk plat te leggen. Snake werkte als een peer-to-peer-netwerk waarbij besmette computers over de hele wereld met elkaar werden verbonden.
Om deze geavanceerde malware te neutraliseren, moesten de verdedigers de computersystemen van hun tegenstanders proactief verstoren, een methode waarvoor de rechter toestemming moet geven. Plaatsvervangend procureur-generaal Lisa Monaco verklaart dat de rechtshandhavers alleen door de Russische malware tegen zichzelf te laten keren, neutralisatie mogelijk was.
Bij de operatie, genaamd Medusa, maakte de FBI gebruik van nieuwe methoden die vergaande infiltratie van vijandige systemen vereisen. Uiteindelijk kon de FBI via een door de Russen besmette Amerikaanse computer het peer-to-peer-systeem binnendringen. Via talloze tussenschakels belandde de FBI bij de Turla-computers in Rusland. Door deze onschadelijk te maken, denkt de FBI de malware definitief te hebben uitgeroeid.
Reis
In een verklaring legt een cybersecurity-specialist van de FBI gedetailleerd vast hoe de gevreesde Turla-hackers te werk zijn gegaan. De Russen leidden de gestolen documenten niet direct naar hun eigen computers, maar lieten die eerst een reis door geïnfecteerde computers van Amerikaanse overheden en andere Navo-lidstaten maken. Door deze ketens bleef de Russische spionage geruime tijd verborgen.
Zowel in de VS als daarbuiten zijn meerdere computers besmet. Tussen 2015 en 2017 probeerden de Russen een computer te belagen op een ministerie van Buitenlandse Zaken van een niet nader genoemde Navo-lidstaat. De FBI heeft de communicatie tussen deze computer en Amerikaanse computers ontcijferd. Daaruit bleek dat Turla deze computer gebruikte om op grote schaal interne documenten van de VN en de Navo te stelen.
Volgens een rapport van CISA (Cybersecurity & Infrastructure Security Agency) had Turla Snake zo ingericht dat de hackersgroep gemakkelijk nieuwe of verbeterde componenten kon integreren. Het peer-to-peer-netwerk werkte op computers met de besturingssystemen Windows, Mac en Linux. Bij de ontmanteling moest de FBI uiterst omzichtig te werk gaan.
Uit de gerechtelijke documenten blijkt dat de Amerikanen mensen van wie computers tijdens de operatie werden gebruikt, niet meteen konden informeren. Volgens de FBI was dat noodzakelijk, anders zouden de Russen de ontmanteling van Snake hebben kunnen dwarsbomen of verzachten, zo meldt de New York Times. De krant citeert een FBI-agent die stelt dat alles zou zijn mislukt wanneer Turla voortijdig van de operatie op de hoogte was gekomen. Dan zou Turla de Snake-malware kunnen gebruiken op de betrokken computers en andere door Snake gecompromitteerde systemen over de hele wereld om de uitvoering van de operatie te volgen. Op die manier was Turla erachter gekomen hoe de FBI de Snake-malware kon uitschakelen en hadden de Russen de verdediging van Snake kunnen verharden.