• Herramientas
    • Protección de Perímetro
      • Palo Alto Networks
      • Fortigate
    • Protección de Dispositivos / EDR
      • Kaspersky Endpoint Security for Bussiness
      • Malwarebytes Endpoint Protection
    • Conectividad Inalámbrica
      • FortiAP
      • Ruckus Wireless
    • Borrado Seguro
      • Blancco
    • Detección y Administración de Vulnerabilidades
      • GFI LanGuard
      • Nessus Professional
    • Seguridad en Aplicaciones Web
      • FortiWeb de Fortinet
    • Administración de Parches
      • GFI LanGuard
      • SolarWinds Patch Manager
    • Soluciones de Monitoreo
      • FortiSIEM
      • AlienVault
    • Respaldos de Información
      • Acronis
    • Prevención de Fuga de Información
      • EndPoint Protector
    • Seguridad de Correo Electrónico
      • FortiMail
      • Hornetsecurity
  • Servicio / Consultoría
    • Póliza de soporte técnico
    • Servicios de Ciberseguridad
      • Auditorías de Configuración de Herramientas de Seguridad
      • Escaneo de vulnerabilidades
      • Análisis de vulnerabilidades
      • Pruebas de Penetración
      • Auditoría de Seguridad para la Nube
      • Atención a Eventos de Seguridad
    • Consultorías de Seguridad de la Información
      • Auditorías de Seguridad de la Información
      • Plan de Administración de Riesgos de Seguridad
      • Implementación de un SGSI basado en ISO 27000
      • Plan de Administración de Vulnerabilidades
      • Plan de Capacitación y Sensibilización de Seguridad de la Información
    • Cursos de Capacitación
  • Empresa
  • Alianza
  • Blog
  • Contáctanos
Menú
  • Herramientas
    • Protección de Perímetro
      • Palo Alto Networks
      • Fortigate
    • Protección de Dispositivos / EDR
      • Kaspersky Endpoint Security for Bussiness
      • Malwarebytes Endpoint Protection
    • Conectividad Inalámbrica
      • FortiAP
      • Ruckus Wireless
    • Borrado Seguro
      • Blancco
    • Detección y Administración de Vulnerabilidades
      • GFI LanGuard
      • Nessus Professional
    • Seguridad en Aplicaciones Web
      • FortiWeb de Fortinet
    • Administración de Parches
      • GFI LanGuard
      • SolarWinds Patch Manager
    • Soluciones de Monitoreo
      • FortiSIEM
      • AlienVault
    • Respaldos de Información
      • Acronis
    • Prevención de Fuga de Información
      • EndPoint Protector
    • Seguridad de Correo Electrónico
      • FortiMail
      • Hornetsecurity
  • Servicio / Consultoría
    • Póliza de soporte técnico
    • Servicios de Ciberseguridad
      • Auditorías de Configuración de Herramientas de Seguridad
      • Escaneo de vulnerabilidades
      • Análisis de vulnerabilidades
      • Pruebas de Penetración
      • Auditoría de Seguridad para la Nube
      • Atención a Eventos de Seguridad
    • Consultorías de Seguridad de la Información
      • Auditorías de Seguridad de la Información
      • Plan de Administración de Riesgos de Seguridad
      • Implementación de un SGSI basado en ISO 27000
      • Plan de Administración de Vulnerabilidades
      • Plan de Capacitación y Sensibilización de Seguridad de la Información
    • Cursos de Capacitación
  • Empresa
  • Alianza
  • Blog
  • Contáctanos
  • diciembre 1, 2016

Proyecto Sauron, ciberespionaje a su máxima expresión

 

ProyectoSauron_CeroUnoSoftware.jpg

El virus lleva activo desde el año 2011. Se trata de un virus muy sofisticado, oculto en ordenadores y que ha sido bautizado con el nombre de Proyecto SAURON. Diversos estudios demuestran que este código fue desarrollado en función de intereses de Estado para operaciones de ciberespionaje.

Según la firma Symantec y el laboratorio Kaspersky, especialistas en seguridad informatica, ya habría afectado a por lo menos 30 objetivos. Y para realizar sus ataques utilizan un avanzado virus llamado Remsec. Este virus suele ser usado para espionaje, permitiendo robar documentos y facilitar un amplio acceso al ordenador infectado.

Una sofisticada herramienta de espionaje

Debido a que utiliza un conjunto de herramientas único para cada víctima, deja una huella diferente cada vez. Esto hace imposible establecer patrones de comportamiento del virus, lo que lo hace prácticamente indetectable. Entre las víctimas se hallan agencias gubernamentales, centros de investigación, organizaciones militares e instituciones financieras. El objetivo de todos los ataques es claramente el ciberespionaje, al igual logra robar documentos, almacenar códigos especiales, llaves de encriptación y afecta las USB conectadas.

 

“El Malware permitía el robo de documentos y

entregaba acceso completo a la computadora infectada.

Según expertos, ha sido desarrollado por un estado.”

 

Según Symantec, el grupo Strider puede haber ejecutado ataques desde aproximadamente el mes de octubre de 2011, logrando ataques que se han producido contra organizaciones e individuos ubicados en Rusia, una aerolínea en China, una organización en Suecia y una embajada en Bélgica.

ProyectoSauronTargeting_CeroUnoSoftware-284604-edited.jpg

Kaspersky Labs asegura que una operación de esta magnitud se encuentra en la cúspide del ciberespionaje y pudo haber sido ejecutada únicamente con soporte gubernamental. Estima que el desarrollo de este código cuenta con la participación de varios equipos de especialistas y un presupuesto de varios millones de dólares. Además, ha comparado su ejecución con el virus Stuxnet, famoso por atacar las centrifugadoras de la central nuclear iraní de Natanz en 2010.

 

"Los atacantes entienden, claramente, que nosotros los investigadores estamos siempre buscando patrones. Elimina esos patrones y resultará mucho más difícil descubrir la operación", afirmaron los investigadores en el informe publicado ayer.

ProyectoSauronCodigo_CeroUnoSoftware-397800-edited.png

  • Una huella particular: Los Implantes principales que tienen diferentes nombres y tamaños de archivos y se construyen de forma individual para cada objetivo, lo que hace muy difícil de detectar, ya que un mismo indicador básico de problemas tendría poco valor para cualquier otro objetivo.

 

  • Funciona en la memoria: Los implantes principales hacen uso de secuencias de mandos en software legítimo actualizado y trabajan como programas furtivos, bajando nuevos módulos o ejecutando órdenes del atacante puramente en la memoria.

 

  • Una tendencia hacia las criptocomunicaciones: ProjectSauron busca activamente información relacionada con software de cifrado de red personalizada, algo muy inusual. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electrónico y documentos. Los atacantes están particularmente interesados en los componentes del software de cifrado, claves, archivos de configuración y la ubicación de los servidores que transmiten los mensajes cifrados entre los nodos.

 

  • Flexibilidad basada en secuencias de mandos: El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que están orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues sólo se había visto en los ataques de Flame y Animal Farm.

 

  • Traspasando el diseño de la seguridad de las redes de air gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de ‘air gaps’. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos robados.

 

  • Diferentes mecanismos de extracción: ProjectSauron implementa una serie de rutas para la extracción de los datos, entre las que se incluyen canales legítimos, como el correo electrónico y el DNS, con información robada y copiada de la víctima encubierta en el tráfico regular.

 

{{cta('ca35bcab-76ee-41a6-96ee-53f03034a25e')}}

 

 Fuentes:

http://elblogdelespia.com/que-es-el-proyecto-sauron/

http://mundoejecutivo.com.mx/tecnologia/2016/08/15/proyecto-sauron-virus-oculto-ordenadores

https://actualidad.rt.com/actualidad/215576-sauron-proyecto-ciberespionaje-informatico-atacar

https://colombiadigital.net/actualidad/noticias/item/9176-projectsauron-espionaje-de-alto-nivel-a-comunicaciones-cifradas-de-gobiernos.html

 

ProyectoSauron_CeroUnoSoftware.jpg

El virus lleva activo desde el año 2011. Se trata de un virus muy sofisticado, oculto en ordenadores y que ha sido bautizado con el nombre de Proyecto SAURON. Diversos estudios demuestran que este código fue desarrollado en función de intereses de Estado para operaciones de ciberespionaje.

Según la firma Symantec y el laboratorio Kaspersky, especialistas en seguridad informatica, ya habría afectado a por lo menos 30 objetivos. Y para realizar sus ataques utilizan un avanzado virus llamado Remsec. Este virus suele ser usado para espionaje, permitiendo robar documentos y facilitar un amplio acceso al ordenador infectado.

Una sofisticada herramienta de espionaje

Debido a que utiliza un conjunto de herramientas único para cada víctima, deja una huella diferente cada vez. Esto hace imposible establecer patrones de comportamiento del virus, lo que lo hace prácticamente indetectable. Entre las víctimas se hallan agencias gubernamentales, centros de investigación, organizaciones militares e instituciones financieras. El objetivo de todos los ataques es claramente el ciberespionaje, al igual logra robar documentos, almacenar códigos especiales, llaves de encriptación y afecta las USB conectadas.

 

“El Malware permitía el robo de documentos y

entregaba acceso completo a la computadora infectada.

Según expertos, ha sido desarrollado por un estado.”

 

Según Symantec, el grupo Strider puede haber ejecutado ataques desde aproximadamente el mes de octubre de 2011, logrando ataques que se han producido contra organizaciones e individuos ubicados en Rusia, una aerolínea en China, una organización en Suecia y una embajada en Bélgica.

ProyectoSauronTargeting_CeroUnoSoftware-284604-edited.jpg

Kaspersky Labs asegura que una operación de esta magnitud se encuentra en la cúspide del ciberespionaje y pudo haber sido ejecutada únicamente con soporte gubernamental. Estima que el desarrollo de este código cuenta con la participación de varios equipos de especialistas y un presupuesto de varios millones de dólares. Además, ha comparado su ejecución con el virus Stuxnet, famoso por atacar las centrifugadoras de la central nuclear iraní de Natanz en 2010.

 

“Los atacantes entienden, claramente, que nosotros los investigadores estamos siempre buscando patrones. Elimina esos patrones y resultará mucho más difícil descubrir la operación”, afirmaron los investigadores en el informe publicado ayer.

ProyectoSauronCodigo_CeroUnoSoftware-397800-edited.png

  • Una huella particular: Los Implantes principales que tienen diferentes nombres y tamaños de archivos y se construyen de forma individual para cada objetivo, lo que hace muy difícil de detectar, ya que un mismo indicador básico de problemas tendría poco valor para cualquier otro objetivo.

 

  • Funciona en la memoria: Los implantes principales hacen uso de secuencias de mandos en software legítimo actualizado y trabajan como programas furtivos, bajando nuevos módulos o ejecutando órdenes del atacante puramente en la memoria.

 

  • Una tendencia hacia las criptocomunicaciones: ProjectSauron busca activamente información relacionada con software de cifrado de red personalizada, algo muy inusual. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electrónico y documentos. Los atacantes están particularmente interesados en los componentes del software de cifrado, claves, archivos de configuración y la ubicación de los servidores que transmiten los mensajes cifrados entre los nodos.

 

  • Flexibilidad basada en secuencias de mandos: El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que están orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues sólo se había visto en los ataques de Flame y Animal Farm.

 

  • Traspasando el diseño de la seguridad de las redes de air gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de ‘air gaps’. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos robados.

 

  • Diferentes mecanismos de extracción: ProjectSauron implementa una serie de rutas para la extracción de los datos, entre las que se incluyen canales legítimos, como el correo electrónico y el DNS, con información robada y copiada de la víctima encubierta en el tráfico regular.

 

{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}

 

 Fuentes:

http://elblogdelespia.com/que-es-el-proyecto-sauron/

http://mundoejecutivo.com.mx/tecnologia/2016/08/15/proyecto-sauron-virus-oculto-ordenadores

https://actualidad.rt.com/actualidad/215576-sauron-proyecto-ciberespionaje-informatico-atacar

https://colombiadigital.net/actualidad/noticias/item/9176-projectsauron-espionaje-de-alto-nivel-a-comunicaciones-cifradas-de-gobiernos.html

Contacto

Tel: 33 3563 4036  –  33 3647 5547


GDL: Av Netzahualcóyotl 1597, Interior 502 y 503, Col. Cd del Sol, C.P. 45050 Zapopan, Jal.

CDMX: Av. Insurgentes Sur 601 piso 12 int 125, Col. Nápoles, Delegación Benito Juárez Ciudad de México, C.P. 03810, México

Síguenos en nuestras redes

  • Facebook
  • Twitter
  • LinkedIn
AntAnterior
SiguienteSiguiente

Deja un comentarioCancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Trabajando por crear una cultura de Seguridad de la Información

Acerca de nosotros

Somos una empresa especializada en Seguridad de la Información.

Transformamos el valor de tu información en seguridad y confianza.

Contácto

  • Tel: 33 3563 4036
  • Tel. 33 3647 5547
  • Tel. 33 3545 5787
  • GDL: Av Netzahualcóyotl 1597, Interior 502 y 503, Col. Cd del Sol, C.P. 45050 Zapopan, Jal.
  • CDMX: Av. Insurgentes Sur 601 piso 12 int 125, Col. Nápoles, Delegación Benito Juárez Ciudad de México, C.P. 03810, México

Redes sociales

Facebook Twitter Linkedin

© 2022 Cero Uno Software Corporativo

Aviso de privacidad