司法省、ロシア連邦保安局が管理するスネーク・マルウェア・ネットワークの妨害を裁判所が許可したと発表

FBIサイバークライム情報

2023 年 5 月 9 日

オペレーション・メデューサを通じて、FBI、およびニューヨーク東部地区連邦検事局は、複数の外国政府と連携して、FSB の主要なサイバースパイ活動マルウェアの埋め込みを無力化しました

司法省は本日、「スネーク」と呼ばれる高度なマルウェアに感染したコンピューターの世界規模のピアツーピアネットワークを破壊するための、コードネームMEDUSAと呼ばれる裁判所認可の作戦の完了を発表した。この作戦は、米国政府がロシア連邦保安局(FSB)のセンター16内の部隊によるものであるとしている。法廷文書では「Turla」と呼ばれるこの部隊は、約 20 年にわたり、Snake マルウェアのバージョンを使用して、北大西洋条約機構 (NATO) 加盟国政府、ジャーナリスト、その他ロシア連邦の関心のあるターゲットに属する少なくとも 50 か国の数百のコンピューター システムから機密文書を盗んできました。これらの書類を盗んだ後、

Operation MEDUSA では、FBI が作成した PERSEUS という名前のツールを使用して、侵害されたコンピュータ上の Turla's Snake マルウェアを無効にしました。このツールは、Snake マルウェアに自身の重要なコンポーネントを上書きさせるコマンドを発行しました。米国内では、この作戦はニューヨーク東部地区の連邦治安判事シェリル・L・ポラック判事が発行した捜査令状に基づき、FBIによって実行され、侵害されたコンピューターへのリモート・アクセスが許可された。今朝、裁判所は、捜査令状の申請を裏付けるために提出された宣誓供述書と、裁判所が発行した捜査令状の編集版を開封した。米国外の被害者に対して、FBI は地方当局と協力して、その当局の国内での Snake 感染に関する通知と修復指導の両方を提供しています。

メリック・B・ガーランド、米国司法長官。ブレオン・ピース、ニューヨーク東部地区連邦検事。リサ・O・モナコ、司法省副司法長官。FBIニューヨーク支局のマイケル・J・ドリスコル次官補がこの作戦を発表した。

ガーランド司法長官は、「司法省は国際的なパートナーと協力し、ロシア政府がNATO同盟国に対するものも含め、サイバースパイ活動を行うために約20年にわたって使用してきたマルウェアに感染したコンピューターの世界的なネットワークを解体した」と述べた。「米国と同盟国の安全を損なうロシア政権の不安定化努力に対する集団防衛を引き続き強化していく」と述べた。

「ロシアは、犯罪を隠蔽する皮肉な試みとして、洗練されたマルウェアを使用して同盟国から機密情報を盗み、米国内の感染したコンピューターのネットワークを通じて機密情報を洗浄しました。サイバースパイ活動の課題に対処するには、創造性と、我が国と同盟国を守るためにあらゆる合法的手段を使用する意欲が必要です」と米国検事ピースは述べた。「今日発表された裁判所認可の遠隔捜索と修復は、アメリカ国民を守るために自由に使えるツールをすべて活用するという私の事務所とパートナーのコミットメントを示しています。」

モナコ司法副長官は、「ロシアのマルウェアを自国に向けたハイテク作戦を通じて、米国の法執行機関は、ロシアの権威主義的目的を推進するために20年間使用されてきた、ロシアで最も洗練されたサイバースパイ活動ツールの1つを無力化した」と述べた。「この措置と被害者が身を守るために必要な情報の公開を組み合わせることで、司法省は引き続き被害者をサイバー犯罪活動の中心に据え、悪意のあるサイバー攻撃者との戦いに取り組んでいきます。」

「私たちが本日発表した作戦は、ロシア政府の最も重要なサイバースパイツールを妨害することに成功しました。このマルウェアは 20 年間にわたり、ロシア諜報機関によるコンピュータ システムの侵害と機密情報の窃取を可能にし、米国政府と同盟国だけでなく民間部門の組織にも被害を与えました。この措置は、情報を盗もうとするロシアやその他の敵対国に対して、FBIと我々のパートナーが団結して国を守る努力をしていることを思い出させるものとなるはずだ」とFBIのドリスコル次官補は述べた。

司法省国家安全保障局のマシュー・G・オルセン司法次官補は、「FSBは20年にわたり、米国とその同盟国に対するサイバースパイ活動を行うためにスネークマルウェアに依存してきたが、それは今日終了する」と述べた。「司法省は、ハイテク作戦によるマルウェアの無力化、法的当局の革新的な利用、集団的な影響力を拡大するための国際同盟国や民間部門のパートナーとの協力など、ロシアの悪意のあるサイバー活動と戦うために保有するあらゆる武器を使用するつもりだ。」

法廷文書で詳述されているように、米国政府は Snake および Snake 関連のマルウェア ツールを 20 年近く調査してきました。米国政府は、ロシアのリャザンにある既知のFSB施設からスネークを使用して日常業務を行っているトゥルラに割り当てられたFSB職員を監視している。

Snake はその存在を通じて、いくつかのサイバーセキュリティ業界のレポートの対象となってきましたが、Turla は数多くのアップグレードと改訂を適用し、選択的に導入してきました。これはすべて、Snake が FSB の最も高度な長期サイバースパイ活動マルウェア インプラントであり続けることを保証するためです。中断されない限り、Snake インプラントは侵害されたコンピュータのシステム上に無期限に残り、通常はマシンの所有者や許可されたユーザーには検出されません。FBI は、被害者がセキュリティ侵害を修復しようとしたにもかかわらず、特定のコンピュータ上で Snake が存続していることを観察しました。

Snake は、Turla オペレータに、選択したマルウェア ツールをリモートで展開する機能を提供し、特定のマシンに保存されている機密情報やドキュメントを識別して盗むための Snake の機能を拡張します。最も重要なことは、Snake に侵害されたコンピューターの世界中のコレクションが秘密のピアツーピア ネットワークとして機能し、西側およびその他のシグナル インテリジェンス サービスによる検出、監視、および収集の取り組みを妨げるように設計されたカスタマイズされた通信プロトコルを利用していることです。

Turla は Snake ネットワークを使用して、ターゲット システムから流出したデータを、世界中に点在する多数の中継ノードを介してロシアの Turla オペレータに送り返します。たとえば、FBI、米国情報コミュニティのパートナー、および同盟外国政府は、FSBがスネークネットワークを利用して、NATO加盟国政府が運営するものを含む機密コンピュータシステムからデータを盗み出し、これらの盗まれたデータの送信を、知らず知らずのうちに米国内のスネークに侵害されたコンピュータを介して送信するルーティングを行っていることを監視してきました。

法廷文書に記載されているように、FBI は Snake マルウェアと Snake ネットワークの分析を通じて、Snake の通信を復号化および復号化する機能を開発しました。FBI は、Snake ネットワークの監視と Snake マルウェアの分析から収集した情報をもとに、PERSEUS という名前のツールを開発しました。このツールは、特定のコンピュータ上で Snake マルウェア インプラントとの通信セッションを確立し、ホスト コンピュータやコンピュータ上の正規のアプリケーションに影響を与えることなく、Snake インプラント自体を無効にするコマンドを発行します。

本日、世界中のネットワーク防御者に力を与えるため、FBI、国家安全保障局、サイバーセキュリティ・インフラストラクチャ・セキュリティ局、米国サイバー軍サイバー国家任務部隊、およびファイブ・アイズ加盟各国のその他6つの諜報機関およびサイバーセキュリティ機関は、サイバーセキュリティ専門家がネットワーク上のSnakeマルウェア感染を検出して修復できるようにする、Snakeマルウェアに関する詳細な技術情報を含む共同サイバーセキュリティ勧告(「共同勧告」)を発行しました。共同勧告はここから入手できます。FBI と米国国務省も、Snake マルウェアの標的となったコンピューターが存在する国の地方当局に追加情報を提供しています。

Operation MEDUSA により、侵害されたコンピュータ上の Snake マルウェアが無効化されましたが、被害者はさらなる被害から身を守るために追加の措置を講じる必要があります。Snake を無効にする操作では、脆弱性へのパッチ適用や、ハッキング グループが被害者のネットワーク上に配置した可能性のある追加のマルウェアやハッキング ツールの検索や削除は行われませんでした。司法省は、ネットワーク防御者に対し、検出とパッチ適用に関するさらなるガイダンスについて共同勧告を検討することを強く推奨しています。さらに、法廷文書に記載されているように、Turla は Snake を使用して「キーロガー」を頻繁に展開し、これを使用して正規のユーザーからユーザー名やパスワードなどのアカウント認証資格情報を盗むことができます。被害者は、Turla がこれらの盗まれた資格情報を使用して、侵害されたコンピュータや他のアカウントに不正に再アクセスする可能性があることに注意する必要があります。

FBI は、捜査令状に従ってリモート アクセスされているコンピューターのすべての所有者またはオペレーターに、裁判所が許可した操作の通知を行っています。

FSB による Snake マルウェアの使用に関する犯罪捜査は、FSB の国家安全保障およびサイバー犯罪部門が担当しています。アメリカ合衆国検事補イアン・C・リチャードソンが国家安全保障局防諜・輸出管理課の支援を受けて捜査を担当している。

Snake マルウェア ネットワークを破壊する取り組みは、FBI ニューヨーク出張所、FBI サイバー部門、ニューヨーク東部地区連邦検事局、および国家安全保障部門の防諜および輸出管理セクションによって主導されました。刑事局のコンピューター犯罪および知的財産課からも支援が提供されました。

これらの取り組みは、FBI がシステム上でスネークの通信を監視することを許可した被害者を含む、多数の民間団体の協力なしには成功しなかったでしょう。

捜索令状:

スネークマルウェアネットワークを構成するコンピュータに関する情報の探索について