FBI yetkilileri Salı günü büyük bir bomba patlattı: Kremlin’in en gelişmiş hacker birimlerinden birinin dünyanın dört bir yanındaki yüzlerce bilgisayara yüklediği son derece gizli kötü amaçlı yazılımları yıllarca izleyerek geçirdikten sonra ajanlar, kötü amaçlı yazılımın kendi kendini devre dışı bırakmasına neden olan bir yükü boşalttı.
Karşı saldırı, yirmi yılı aşkın bir süredir casusluk ve sabotaj için kullanılan, genişleyen bir çapraz platform kötü amaçlı yazılımın adı olan Snake’i hedef aldı. Snake, dünyanın en gelişmiş APT’lerinden biri olan, gelişmiş kalıcı tehditlerin kısaltması olan ve ulus devletlerin sponsorluğunda uzun süredir devam eden bilgisayar korsanlığı ekipleri için kullanılan bir terim olan Turla tarafından geliştirildi ve işletildi.
Şakalar, sataşmalar ve efsanevi ejderhaların içinde
Ülke sponsorluğundaki bilgisayar korsanlığı beyzbol olsaydı, Turla sadece bir Birinci Lig takımı olmazdı, aynı zamanda daimi bir play-off yarışmacısı olurdu. Birden fazla güvenlik firmasından araştırmacı, 2008’de ABD Savunma Bakanlığı’nın ve daha yakın zamanda da Alman Dışişleri Bakanlığı ve Fransa ordusunun ihlallerinin arkasında Turla’nın olduğu konusunda büyük ölçüde hemfikir. Grup ayrıca gizli Linux kötü amaçlı yazılımlarını serbest bırakmasıyla ve operasyonlarının gizliliğini korumak için uydu tabanlı İnternet bağlantılarını kullanmasıyla da tanınıyor.
Turla’nın cephaneliğindeki en güçlü araçlardan biri Windows, macOS ve Linux üzerinde çalışan bir tür dijital İsviçre Çakısı olan Snake’dir. C programlama dilinde yazılmış olan Snake, virüs bulaşmış bir bilgisayarı diğerine gizlice bağlayan devasa bir eşler arası ağ üzerine inşa edilmiş oldukça modüler bir dizi parça olarak gelir. FBI, Snake’in bugüne kadar 50’den fazla ülkeye yayıldığını ve NATO üyesi hükümetlere, Rusya’yı takip eden ABD’li bir gazeteciye ve kritik altyapı, iletişim ve eğitim içeren sektörlere ait bilgisayarlara bulaştığını söyledi.
Snake yeteneklerinin kısa bir listesi, Turla’nın virüslü bilgisayarlara kötü amaçlı yazılım yüklemesine veya bu bilgisayarları kaldırmasına, komutlar göndermesine ve Kremlin’in ilgi alanına giren verileri sızdırmasına olanak tanıyan bir arka kapı içerir. Profesyonelce tasarlanmış bir yazılım parçası olan Snake, komutları ve dışarı sızan verileri şifrelemek için birkaç özel şifreleme katmanı kullanır. P2P ağı üzerinden, şifrelenmiş komutlar ve veriler, etkinliğin algılanmasını veya izlenmesini zorlaştıracak şekilde, diğer virüs bulaşmış makinelerden oluşan bir atlama noktaları zincirinden geçer.
Yılan’ın kökenleri, kendi kuyruğunu yiyen bir yılan veya ejderhayı tasvir eden eski bir sembol olan ouroboros’un bir varyasyonu olan “Uroburos” adlı bir öncünün yaratılmasıyla en az 2003 yılına dayanır. Aşağıda görünen Alman filozof ve ilahiyatçı Jakob Böhme’nin düşük çözünürlüklü bir görüntüsü, bir noktada Turla’nın bazı saldırıya uğramış uç noktalara kuracağı gereksiz bir arka kapının anahtarı görevi gördü.
Uroburos adı, kötü amaçlı yazılımın ilk sürümlerinde, örneğin “Ur0bUr()sGoTyOu#” dizesinde, Snake olarak yeniden adlandırıldıktan sonra bile varlığını sürdürdü. 2014 yılında dizi “gLASs D1cK” ile değiştirildi. Diğer dizeler, kodlarını analiz eden veya bunlara karşı çıkan güvenlik araştırmacılarına yönelik içeriden şakalara, geliştiricilerin kişisel çıkarlarına ve alay hareketlerine atıfta bulunur.