EXalli

ProjectSauron Kaspersky Lab

En 2015, Kaspersky Anti-Targeted Attack alertó sobre una característica inusual en la red de una organización de un cliente. Los investigadores de Kaspesky evaluaron que se trataba de un viruas espía que atacaba a las organizaciones estatales con un conjunto único de herramientas para cada víctima, situación que hace inútil determinar el patrón de comportamiento del virus.
Kaspersky Lab lo denominó Sauron, debido a que encontró esta palabra en un fragmento del código fuente de la amenza, y determinó que el objetivo de los ataques parece ser principalmente el ciberespionaje, ganando acceso a las comunicaciones cifradas.
ProjectSauron, como fue denominado este virus por los investigadores de seguridad rusos, utiliza un conjunto de implantes e infraestructura para cada objetivo individual, y nunca los reutiliza.
Su método, junto con varias rutas para la extracción de los datos robados, como es el caso de canales legítimos de correo electrónico y DNS, le permite realizar campañas secretas de espionaje en las redes objetivo durante periodos prolongados.
De acuerdo con Wired, el análisis exhaustivo de Kaspersky arrojó como resultado que ProjectSauron posiblemente haya sido creado por el mismo grupo que desarrolló Stuxnet y Duqu, y que aprendió de ambos, así como de otros virus espías avanzados, como Flame, Equation, Llama, Gauss y Regin, ya que adopta algunas de las técnicas más innovadoras de éstos y mejora sus tácticas para poder ocultarse.
Se sabe que ProjectSauron está activo desde 2011 y ha afectado más de 30 organizaciones.
sauron code
Características de ProjectSauron:
  • Una huella particular: Los implantes principales, que tienen diferentes nombres y tamaños de archivos, se construyen de forma individual para cada objetivo, lo que los hace difíciles de detectar, ya que un mismo indicador de problemas básico tendría poco valor para cualquier otro objetivo.
  • Funciona en la memoria: Los implantes principales hacen uso de secuencias de mandos en software legítimo actualizado y trabajan como programas furtivos, bajando nuevos módulos o ejecutando órdenes del atacante únicamente en la memoria.
  • Una tendencia hacia las criptocomunicaciones: ProjectSauron busca activamente información relacionada con software de cifrado de red personalizada, algo bastante raro. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electrónico y documentos. Los atacantes están particularmente interesados en los componentes del software de cifrado, claves, archivos de configuración y la ubicación de los servidores que transmiten los mensajes cifrados entre los nodos.
  • Flexibilidad basada en secuencias de mandos: El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que están orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues sólo se había visto en los ataques de Flame y Animal Farm.
  • Traspasando el diseño de la seguridad de las redes de air gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de air gaps. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos robados.
  • Diferentes mecanismos de extracción: ProjectSauron implementa una serie de rutas para la extracción de los datos, entre las que se incluyen canales legítimos, como el correo electrónico y el DNS, con información robada y copiada de la víctima, encubierta en el tráfico regular.
Perfil de las víctimas
Hasta la fecha sumán más de 30 organizaciones atacadas, identificadas en Rusia, Irán y Ruanda. Las víctimas generalmente juegan un papel clave en la prestación de servicios al Estado, e incluyen:
  • Gobiernos
  • Instituciones militares
  • Centros de investigación científica
  • Operadores de telecomunicaciones
  • Organizaciones financieras
“Varios ataques dirigidos en la actualidad dependen de herramientas de bajo costo que pueden adquirirse fácilmente. ProjectSauron, por el contrario, es uno de los que depende de herramientas de fabricación casera confiables y de código escrito personalizado. Tan solo el uso de indicadores únicos, como el servidor de control, las claves de cifrado y más, además de la adopción de técnicas de vanguardia copiadas de otros agentes principales de amenazas, es bastante nuevo. La única manera de resistir este tipo de amenazas es teniendo instaladas muchas capas de seguridad, basadas en una cadena de sensores que controlen hasta la más mínima anomalía en el flujo de trabajo de la organización, multiplicado con inteligencia contra las amenazas y análisis forense para detectar patrones, incluso cuando parece no haber alguno”, explicó Vitaly Kamluk, Investigador Principal de Seguridad en Kaspersky Lab.
El costo, la complejidad, la persistencia y el objetivo final de la operación, robar información confidencial y secreta de organizaciones estatales, sugieren la participación o el apoyo de una nación o estado.
Los expertos en seguridad de Kaspersky Lab aconsejan a las organizaciones realizar una auditoría a fondo de sus redes de TI y terminales para poner en práctica las siguientes medidas:
·         Introducir una solución contra ataques dirigidos, junto con protección nueva o existente para endpoints. Por sí sola, la protección para endpoints no es suficiente para resistir la nueva generación de agentes de amenazas.
·         Llamar a los expertos si la tecnología señala la presencia de una anomalía. Las soluciones de seguridad más avanzadas podrán detectar un ataque incluso cuando está sucediendo, y los profesionales de la seguridad son a veces los únicos que pueden bloquear, mitigar y analizar de manera eficaz los grandes ataques.
  • Complementar las medidas anteriores con servicios de inteligencia de amenazas: esto mantendrá informados a los equipos de seguridad sobre la evolución más reciente en el panorama de las amenazas, las tendencias de ataque y los signos a tener en cuenta.
  • Y, por último, pero no menos importante, puesto que muchos grandes ataques comienzan con el spear-phishing u otro método dirigido a los empleados, asegúrate de que el personal entienda y mantenga un comportamiento cibernético responsable.
El informe completo sobre ProjectSauron se ha puesto a disposición de los clientes del servicio de informes de inteligencia APT de Kaspersky Lab por adelantado. http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
Los indicadores de compromiso y las reglas Yara están disponibles aquí.
Todos los productos de Kaspersky Lab detectan las muestras de ProjectSauron como HEUR:Trojan.Multi.Remsec.gen.