Artur Marciniec - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

ProjectSauron, espionaje de alto nivel para las comunicaciones gubernamentales cifradas

ProjectSauron utiliza un conjunto de implantes e infraestructura para cada objetivo individual, y nunca los reutiliza, realizando campañas secretas por periodos prolongados en las redes víctimas, advierte Kaspersky Lab.

En septiembre de 2015, Kaspersky Anti-Targeted Attack alertó sobre la presencia de una característica inusual en la red de una organización de un cliente. La anomalía condujo a los investigadores al descubrimiento de ProjectSauron, un agente de amenazas que ataca a las organizaciones estatales con un conjunto único de herramientas para cada víctima, lo que prácticamente inutiliza los indicadores de amenazas tradicionales.

“Varios ataques dirigidos en la actualidad dependen de herramientas de bajo costo que pueden adquirirse fácilmente. ProjectSauron, por el contrario, es uno de los que depende de herramientas de fabricación casera confiables y de código escrito personalizado”, dijo Vitaly Kamluk, investigador principal de seguridad en Kaspersky Lab. Agregó que tan solo el uso de indicadores únicos, como el servidor de control, las claves de cifrado y más, además de la adopción de técnicas de vanguardia copiadas de otros agentes principales de amenazas, es bastante nuevo. “La única manera de resistir este tipo de amenazas es teniendo instaladas muchas capas de seguridad, basadas en una cadena de sensores que controlen hasta la más mínima anomalía en el flujo de trabajo de la organización, multiplicado con inteligencia contra las amenazas y análisis forense para detectar patrones, incluso cuando parece no haber alguno”, explicó.

La característica más notable de las tácticas de ProjectSauron es que evitan repetirse deliberadamente: ProjectSauron utiliza un conjunto de implantes e infraestructura para cada objetivo individual, y nunca los reutiliza. Este método, junto con varias rutas para la extracción de los datos robados, como es el caso de canales legítimos de correo electrónico y DNS, le permite a ProjectSauron realizar campañas secretas de espionaje en las redes objetivos durante periodos prolongados.

De acuerdo con Kaspersky Lab, el objetivo de los ataques parece ser principalmente el ciberespionaje. ProjectSauron se interesa especialmente en ganar acceso a las comunicaciones cifradas, a las que ataca utilizando una plataforma avanzada de ciberespionaje modular que incorpora un conjunto exclusivo de herramientas y técnicas.

Según informa la firma de seguridad, ProjectSauron da la impresión de ser un actor experimentado y tradicional que ha realizado esfuerzos considerables para aprender de otros actores extremadamente avanzados, entre los que se incluyen Duqu, Flame, Equation y Regin, ya que adopta algunas de las técnicas más innovadoras de estos y mejora sus tácticas con el fin de permanecer sin ser descubierto.

Hasta la fecha más de 30 víctimas de diferentes organizaciones se han identificado en Rusia, Irán y Ruanda, y puede que haya otras en países de habla italiana. Las organizaciones atacadas generalmente juegan un papel clave en la prestación de servicios al Estado, e incluyen gobiernos, instituciones militares, centros de investigación científica, operadores de telecomunicaciones y organizaciones financieras.

Los análisis forenses de Kaspersky indican que ProjectSauron ha estado operando desde junio de 2011 y aún permanece activo en 2016. El vector inicial de infección utilizado por ProjectSauron para penetrar las redes de las víctimas sigue siendo desconocido. Sin embargo, el costo, la complejidad, la persistencia y el objetivo final de la operación –robar información confidencial y secreta de organizaciones estatales– sugieren la participación o el apoyo de una nación o estado.

Algunas de las herramientas y técnicas de particular interés de ProjectSauron incluyen:

  • Una huella particular: Los implantes principales, que tienen diferentes nombres y tamaños de archivos, se construyen de forma individual para cada objetivo, lo que los hace difíciles de detectar, ya que un mismo indicador de problemas básico tendría poco valor para cualquier otro objetivo.
  • Funciona en la memoria: Los implantes principales hacen uso de secuencias de mandos en software legítimo actualizado y trabajan como programas furtivos, bajando nuevos módulos o ejecutando órdenes del atacante únicamente en la memoria.
  • Una tendencia hacia las criptocomunicaciones: ProjectSauron busca activamente información relacionada con software de cifrado de red personalizada, algo bastante raro. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electrónico y documentos. Los atacantes están particularmente interesados en los componentes del software de cifrado, claves, archivos de configuración y la ubicación de los servidores que transmiten los mensajes cifrados entre los nodos.
  • Flexibilidad basada en secuencias de mandos: El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que están orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues sólo se había visto en los ataques de Flame y Animal Farm.
  • Traspasando el diseño de la seguridad de las redes de air gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de air gaps. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos robados.
  • Diferentes mecanismos de extracción: ProjectSauron implementa una serie de rutas para la extracción de los datos, entre las que se incluyen canales legítimos, como el correo electrónico y el DNS, con información robada y copiada de la víctima, encubierta en el tráfico regular.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close