USA legen offen, wie der FSB Snake nutzte, um Daten zu stehlen

Die US-Regierung hat Cybersecurity-Experten einen seltenen Einblick in die Funktionsweise von Malware gewährt, die von einem ausländischen Geheimdienst entwickelt wurde. Das US-Justizministerium gab bekannt, dass ein Netzwerk von Rechnern, das von der Russischen Föderalen Sicherheitsbehörde (FSB) kompromittiert worden waren, nach über 20 Jahren Betrieb abgeschaltet wurden.

Als Teil dieser Ankündigung legte die U.S. Cybersecurity and Infrastructure Security Agency (CISA) offen, wie der FSB ein Peer-to-Peer-Netzwerk mit dem Namen Snake entwickelt hat, das er nutzt, um Informationen von Unternehmen, Medienorganisationen, Bildungseinrichtungen, Regierungsbehörden und Finanzdienstleistern auf der ganzen Welt zu stehlen.

Laut CISA basiert Snake auf einer modularen Architektur, die es dem FSB im Laufe der Jahre ermöglichte, dem, was die Agentur als eines der ausgefeiltesten Cyberspionage-Tools aller Zeiten bezeichnet, neue Fähigkeiten hinzuzufügen.

So funktioniert Snake

Snake verwendet mehrere Komponenten für denselben Zweck, so dass es sich an verschiedene Umgebungen anpassen kann, darunter Windows-, MacOS- und Linux-Systeme. Die erstellten benutzerdefinierten Netzwerkkommunikationsprotokolle funktionieren im Wesentlichen als Stapel, wobei alle Implementierungen eine Verschlüsselungsschicht und eine Transportschicht verwenden. Jede dieser Schichten implementiert eine spezifische Schnittstelle für die Funktionsfähigkeit mit den beiden angrenzenden Schichten. Die Verschlüsselungsschicht und die darunter liegende Transportschicht funktionieren daher unabhängig voneinander, daher kann das Snake-Netzwerkprotokoll eine Verschlüsselungs-Überlagerung verwenden, ohne den Code der Verschlüsselungsschicht ändern zu müssen.

Dieser Ansatz besteht darin, dass der gesamte Datenverkehr zu einem kompromittierten Computer über die Implementierung eines benutzerdefinierten HTTP-Protokolls oder eines unformatierten TCP-Sockets laufen muss, was zur Erstellung von SSH-Verbindungen (Secure Shell) führt. Die in C geschriebene Software zeigt laut CISA, dass die Entwickler von Snake die wichtigsten Grundlagen der Informatik beherrschen. Dazu gehören die Auswahl und korrekte Kodierung asymptotisch optimaler Algorithmen, die Verwendung leistungsfähiger benutzerdefinierter Kodierungsmethoden, die gängigen Kodierungsschemata sehr ähnlich sind, und der sichere Umgang mit den vielen möglichen Fehlern bei der Programmierung auf Systemebene.

Snake ist aufgrund der Konstruktion seines Kernelmoduls fast unmöglich zu erkennen. Alle bekannten Windows-Versionen von Snake verwenden beispielsweise einen verborgenen Speichermechanismus, um Host-Komponenten zu verbergen. Snake verwendet das Kernelmodul nicht nur, um die entsprechenden Komponenten aus den vom Betriebssystem erzeugten Listen zu entfernen, sondern auch, um Anfragen zwischen den Komponenten des Benutzermodus von Snake und dem verborgenen Speichermechanismus zu vermitteln, der selbst mit einem eindeutigen Schlüssel pro Implantat verschlüsselt ist. Daher gibt es keine Signatur, die von Antimalware-Software erkannt werden kann.

Snake erhält die Persistenz auf einem Windows-System aufrecht, indem es eine „WerFaultSvc“ erstellt.  Beim Booten führt dieser Service WerFault.exe von Snake aus, das die Entwickler von Snake unter den zahlreichen gültigen Windows „WerFault.exe“-Dateien im Verzeichnis %windows%\WinSxS\ versteckt haben. Durch die Ausführung von WerFault.exe wird der Prozess gestartet, bei dem die der Komponenten von Snake entschlüsselt und in den Speicher geladen werden.

Snake gegen sich selbst einsetzen

Was die Entwickler von Snake als Einziges nicht bedacht haben, ist, dass das von ihnen geschaffene Netzwerk einige eindeutige Identifikatoren hat. Der FSB nutzte die OpenSSL-Bibliothek, um seinen Diffie-Hellman--Schlüsselaustausch abzuwickeln. Der von Snake während des Schlüsselaustauschs erstellte Diffie-Hellman-Schlüsselsatz ist zu kurz, um sicher zu sein. Der FSB hat die Funktion DH_generate_parameters mit einer Primzahl-Länge von nur 128 Bit versehen, was für asymmetrische Schlüsselsysteme nicht ausreicht. Außerdem scheint Snake an manchen Stellen unter Zeitdruck entstanden zu sein.  So wurden viele Funktionsnamen, Klartextstrings und Entwicklerkommentare entdeckt, weil die FSB-Entwickler es versäumt hatten, die Snake-Binärdatei zu entfernen.

Die Ermittler fanden schließlich heraus, dass das von Snake zur Implementierung der Sitzungswartung verwendete angepasste HTTP es der Malware ermöglichte, mehrere HTTP-Pakete als Teil einer einzigen mit dem schwachen Schlüssel verschlüsselten Sitzung zu behandeln. Dadurch konnten die Ermittler Fingerabdrücke der von einem Snake-infizierten Rechner zu einem anderen gesendeten Daten erstellen. Im Rahmen der Operation MEDUSA wurde dann ein PERSEUS-Tool entwickelt, das der Snake-Malware Befehle erteilt, um sie dauerhaft zu deaktivieren.

So innovativ das auch sein mag, aber der FSB setzt mit Snake häufig einen „Keylogger“ ein, den er verwenden kann, um Zugangsdaten wie Benutzernamen und Passwörter zu stehlen. Organisationen, die von Snake kompromittiert wurden, müssen sich darüber im Klaren sein, dass gestohlene Zugangsdaten für den erneuten Zugriff auf kompromittierte Systeme und Online-Konten verwendet werden können.

Die Erkenntnis, wie ausgeklügelt die Angriffe von Cyberspionage-Organisationen wirklich sind, dürfte ziemlich ernüchternd sein, und Cybersicherheitsexperten können davon ausgehen, dass diese Art von Angriffen häufiger vorkommt, als ihnen bewusst ist. Allerdings ist positiv zu vermerken, dass die zuständigen Behörden bei der Abwehr der Angriffe immer klüger vorgehen, so dass zumindest die Hoffnung besteht, dass in den kommenden Monaten und Jahren immer mehr dieser Angriffe vereitelt werden können.

Dieser Joint Cybersecurity Advisory enthält die Einzelheiten zu Snake und zum Takedown.