Getty Images
פקידי ה-FBI שלשום הטילו פצצה גדולה: לאחר שביליתם שנים במעקב אחר תוכנות זדוניות חמקניות במיוחד, שאחת התוכנות הגדולות בקרמלין. יחידות האקרים מתקדמות הותקנו על מאות מחשבים ברחבי העולם, סוכנים פרקו מטען שגרם לתוכנה זדונית להשבית עצמו.
הפריצה הנגדית פנתה ל-Snake, שם של פיסה רחבת ידיים של תוכנה זדונית חוצת פלטפורמות, שבמשך יותר משני עשורים הייתה בשימוש לריגול וחבלה. Snake פותח ומופעל על ידי Turla, אחד מה-APTs המתוחכמים בעולם, קיצור של איומים מתמשכים מתקדמים, כינוי לתלבושות פריצה ארוכות טווח בחסות מדינות לאום.
בדיחות פנימיות, התגרות ודרקונים מיתיים
אם האקינג בחסות המדינה הייתה בייסבול, אז טורלה לא הייתה רק קבוצת ליגת העל - היא הייתה מועמדת לפלייאוף נצחית. חוקרים מחברות אבטחה מרובות מסכימים במידה רבה שטורלה עמד מאחורי הפרות של משרד ההגנה האמריקאי בשנת 2008, ולאחרונה את משרד החוץ הגרמני והצבא של צרפת. הקבוצה ידועה גם בזכות שחרור תוכנות זדוניות חמקניות של לינוקס ושימוש קישורי אינטרנט מבוססי לוויין לשמור על החשקנות של פעולותיה.
אחד הכלים החזקים ביותר בארסנל של Turla הוא Snake, אולר שוויצרי דיגיטלי מסוגים שפועל על Windows, macOS ו-Linux. כתוב בשפת התכנות C, Snake מגיע כסדרה מאוד מודולרית של חלקים הבנויים על גבי רשת עמית לעמית ענקית המקשרת מחשב נגוע אחד עם מחשב אחר. סנייק, אמר ה-FBI, התפשט עד היום ליותר מ-50 מדינות ומחשבים נגועים השייכים לחברת נאט"ו ממשלות, עיתונאי אמריקאי שסיקר את רוסיה, ומגזרים הקשורים לתשתיות קריטיות, תקשורת ו חינוך.
רשימה קצרה של יכולות Snake כוללת דלת אחורית המאפשרת ל-Turla להתקין או להסיר תוכנות זדוניות במחשבים נגועים, לשלוח פקודות ולחלץ נתונים המעניינים את הקרמלין. תוכנה בעיצוב מקצועי, Snake משתמש במספר שכבות של הצפנה מותאמת אישית כדי להצפין פקודות ונתונים מוחלפים. ברשת P2P, הפקודות והנתונים המוצפנים עוברים דרך שרשרת של נקודות הופ המורכבות ממכונות נגועות אחרות באופן שמקשה על זיהוי או מעקב אחר הפעילות.
מקורותיו של הנחש מתחילים לפחות בשנת 2003, עם יצירתו של מבשר בשם "Uroburos", וריאציה של ouroboros, שהוא סמל עתיק המתאר נחש או דרקון אוכלים את שלו זָנָב. תמונה ברזולוציה נמוכה של הפילוסוף והתיאולוג הגרמני Jakob Böhme, המופיעה למטה, שימשה בשלב מסוים כמפתח לדלת אחורית מיותרת שתתקין טורלה בכמה נקודות קצה פרוצים.
השם Uroburos התקיים בגרסאות מוקדמות של התוכנה הזדונית, גם לאחר ששמה שונה ל-Snake - למשל, במחרוזת "Ur0bUr()sGoTyOu#." ב-2014, המחרוזת הייתה הוחלף ב-"gLASs D1cK." מחרוזות אחרות רומזות לבדיחות פנימיות, אינטרסים אישיים של המפתחים וגעגועים המופנים כלפי חוקרי אבטחה שמנתחים או נוגדים הקוד שלהם.
