Snake, le redoutable malware espion de la Russie, a été détruit, 20 ans après sa création

Le FBI vient d’anéantir le principal virus-espion des services de renseignement russes. Après 20 ans d’exactions dans le monde, le malware a été détruit par un logiciel dédié, programmé par les autorités américaines…

Depuis une vingtaine d’années, la Russie orchestre des opérations de cyberespionnage contre une cinquantaine de pays différents, dont les États-Unis, à l’aide d’un redoutable malware, intitulé Snake. Aux yeux du FBI, il s’agit de « l’outil de cyberespionnage le plus sophistiqué dans l’arsenal » du Service fédéral de sécurité de la fédération de Russie. Le virus est exploité par Turla, une unité des services de renseignement russes dédiée au piratage, en activité depuis 1996, pour mener à bien ses attaques.

À lire aussi : Attention, un redoutable malware s’attaque aux gestionnaires de mots de passe

Plus de 50 pays touchés

Le logiciel malveillant, autrefois connu sous le nom d’Ouroboros, est conçu pour voler des données sensibles sur des ordinateurs à distance. Il est compatible avec Windows, macOS et Linux. Selon les enquêteurs du FBI, son développement remonte à 2003.

Snake a infecté une foule de machines à travers le monde, dont des PC appartenant aux gouvernements membres de l’OTAN, à partir de 2004. À l’aide de ce réseau secret d’ordinateurs tombés sous sa coupe, le virus a exfiltré une montagne de données sensibles, comme des informations d’authentification, au fil des ans. Ces dernières années, Snake s’est notamment fait remarquer en Ukraine. Le virus s’est en effet attaqué à plusieurs reprises aux systèmes informatiques du gouvernement de Kiev, en amont de l’incursion russe.

Le FBI a repéré « l’infrastructure Snake dans plus de 50 pays d’Amérique du Nord, d’Amérique du Sud, d’Europe, d’Afrique, d’Asie et d’Australie, y compris les États-Unis et la Russie elle-même ». Turla visait « des cibles hautement prioritaires, telles que les réseaux gouvernementaux, les centres de recherche et les journalistes », estime l’agence américaine. Des petites entreprises, des médias, des installations gouvernementales et des industries, localisées aux États-Unis, ont également été touchées par le maliciel.

John Hultquist, responsable du renseignement chez Mandiant, une filiale de Google, décrit les attaques menées par Turla comme « des assauts fiables et silencieux ». Les hackers mettaient tout en œuvre pour passer sous le radar. Ils ont néanmoins été repérés par les États-Unis dès les années 2000.

L’autodestruction de Snake

Dès la découverte du virus, le FBI a ouvert une enquête au sujet des activités du malware. Les hackers de Turla, dont la trace a été retrouvée dans une ville de Russie, ont été placés sous surveillance. Après des années d’enquête, le FBI est finalement parvenu à « déchiffrer et décoder les communications de Snake ». Finalement, les forces de l’ordre des États-Unis ont réussi à porter un coup fatal au virus, annonce le ministère de la Justice dans un communiqué. Dans le cadre d’une opération baptisée Méduse, les autorités américaines ont obtenu un accès physique à l’une des machines compromises par les hackers russes.

Ce 8 mai 2023, ils ont déployé un logiciel dédié, appelé Persée, pour provoquer l’autodestruction du malware. Cet outil a été développé par les équipes du FBI sur base « des informations glanées lors de la surveillance du réseau Snake ». Il a été programmé pour communiquer avec le virus et lui fournir des instructions. Face à Persée, Snake a été obligé de se désactiver. Le virus a effacé des pans essentiels de son infrastructure, sans mettre en danger les ordinateurs infectés ou les données stockées.  Cette « opération de haute technologie » a « retourné ce logiciel malveillant russe contre lui-même », explique la ministre adjointe de la justice, Lisa Monaco.

Le FBI informe actuellement tous les propriétaires des ordinateurs touchés afin qu’ils effacent les dernières traces de Snake. D’autres logiciels malveillants, y compris des enregistreurs de frappe, permettant d’espionner tous les mots tapés sur un clavier, doivent être supprimés. Par le biais de Snake, Turla avait en effet l’habitude d’installer une foule de maliciels. Au terme de ce grand nettoyage, Snake est considéré comme hors d’état de nuire. Par contre, les hackers de Turla ne devraient pas tarder à faire leur retour, en s’appuyant sur un « cadre différent », met en garde Frank van Oeveren, en charge du renseignement chez Fox-IT.

Source : Le ministère de la Justice des Etats-Unis