Les États-Unis désactivent le spyware russe Snake
Opéré par le groupe Turla, il a permis aux services secrets russes d’espionner des cibles occidentales pendant une vingtaine d’années
Le département de la Justice des États-Unis (DOJ) a annoncé, le 9 mai 2023, avoir « neutralisé » Snake, le principal malware de cyberespionnage du FSB, les services secrets russes. Une unité du Centre 16 du FSB, baptisée Turla, utilisait ce spyware contre des cibles occidentales depuis près de 20 ans.
Actif dans au moins 50 pays, Snake aurait permis, selon le DOJ, de dérober « des documents sensibles issus de centaines de systèmes informatiques, appartenant à des gouvernements membres de l’OTAN, à des journalistes et à d’autres cibles présentant un intérêt pour la Fédération de Russie ».
Dans un rapport détaillé sur le malware, la CISA, équivalent américain de l’Anssi, cite en exemple un cas où « des acteurs du FSB ont utilisé Snake pour accéder à des documents sensibles sur les relations internationales, ainsi qu’à d’autres communications diplomatiques ». La cible provenait d’un pays de l’OTAN.
« Aux États-Unis, le FSB a fait des victimes dans des secteurs comme l’éducation, les petites entreprises et les médias, ainsi que dans des secteurs sensibles comme les installations gouvernementales, les services financiers, les industries critiques et les communications », précise encore la CISA.
Le FSB avait mis en place une vaste infrastructure de machines infectées par Snake reliées par un réseau P2P criminel. Il pouvait ainsi transmettre les données volées en toute discrétion, en les faisant transiter de machine en machine jusqu’aux opérateurs de Turla en Russie.
Mais cette mise en réseau est aussi devenue le talon d’Achille de Snake. Une opération internationale, baptisée Medusa et coordonnée par le FBI, a en effet visé le spyware. Elle s’est appuyée sur un logiciel développé par le FBI et nommé Perseus, « qui émettait des commandes obligeant le logiciel malveillant Snake à écraser ses propres composants vitaux », selon le DOJ. En infectant le réseau P2P de Turla, l’opération Medusa a pu diffuser Perseus sur un maximum de machines touchées par Snake, et y détruire le logiciel-espion.
« Grâce à une opération de haute technologie qui a retourné les logiciels malveillants russes contre eux-mêmes, les forces de l’ordre américaines ont neutralisé l’un des outils de cyber-espionnage les plus sophistiqués de la Russie, utilisé depuis deux décennies pour faire avancer les objectifs autoritaires du Kremlin », s’est félicitée Lisa O. Monaco, vice-procureure générale des États-Unis.