El virus lleva activo desde el año 2011. Se trata de un virus muy sofisticado, oculto en ordenadores y que ha sido bautizado con el nombre de Proyecto SAURON. Diversos estudios demuestran que este código fue desarrollado en función de intereses de Estado para operaciones de ciberespionaje.
Según la firma Symantec y el laboratorio Kaspersky, especialistas en seguridad informatica, ya habría afectado a por lo menos 30 objetivos. Y para realizar sus ataques utilizan un avanzado virus llamado Remsec. Este virus suele ser usado para espionaje, permitiendo robar documentos y facilitar un amplio acceso al ordenador infectado.
Una sofisticada herramienta de espionaje
Debido a que utiliza un conjunto de herramientas único para cada víctima, deja una huella diferente cada vez. Esto hace imposible establecer patrones de comportamiento del virus, lo que lo hace prácticamente indetectable. Entre las víctimas se hallan agencias gubernamentales, centros de investigación, organizaciones militares e instituciones financieras. El objetivo de todos los ataques es claramente el ciberespionaje, al igual logra robar documentos, almacenar códigos especiales, llaves de encriptación y afecta las USB conectadas.
“El Malware permitía el robo de documentos y
entregaba acceso completo a la computadora infectada.
Según expertos, ha sido desarrollado por un estado.”
Según Symantec, el grupo Strider puede haber ejecutado ataques desde aproximadamente el mes de octubre de 2011, logrando ataques que se han producido contra organizaciones e individuos ubicados en Rusia, una aerolínea en China, una organización en Suecia y una embajada en Bélgica.
Kaspersky Labs asegura que una operación de esta magnitud se encuentra en la cúspide del ciberespionaje y pudo haber sido ejecutada únicamente con soporte gubernamental. Estima que el desarrollo de este código cuenta con la participación de varios equipos de especialistas y un presupuesto de varios millones de dólares. Además, ha comparado su ejecución con el virus Stuxnet, famoso por atacar las centrifugadoras de la central nuclear iraní de Natanz en 2010.
«Los atacantes entienden, claramente, que nosotros los investigadores estamos siempre buscando patrones. Elimina esos patrones y resultará mucho más difícil descubrir la operación», afirmaron los investigadores en el informe publicado ayer.
- Una huella particular: Los Implantes principales que tienen diferentes nombres y tamaños de archivos y se construyen de forma individual para cada objetivo, lo que hace muy difícil de detectar, ya que un mismo indicador básico de problemas tendría poco valor para cualquier otro objetivo.
- Funciona en la memoria: Los implantes principales hacen uso de secuencias de mandos en software legítimo actualizado y trabajan como programas furtivos, bajando nuevos módulos o ejecutando órdenes del atacante puramente en la memoria.
- Una tendencia hacia las criptocomunicaciones: ProjectSauron busca activamente información relacionada con software de cifrado de red personalizada, algo muy inusual. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electrónico y documentos. Los atacantes están particularmente interesados en los componentes del software de cifrado, claves, archivos de configuración y la ubicación de los servidores que transmiten los mensajes cifrados entre los nodos.
- Flexibilidad basada en secuencias de mandos: El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que están orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues sólo se había visto en los ataques de Flame y Animal Farm.
- Traspasando el diseño de la seguridad de las redes de air gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de ‘air gaps’. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos robados.
- Diferentes mecanismos de extracción: ProjectSauron implementa una serie de rutas para la extracción de los datos, entre las que se incluyen canales legítimos, como el correo electrónico y el DNS, con información robada y copiada de la víctima encubierta en el tráfico regular.
{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}
Fuentes:
http://elblogdelespia.com/que-es-el-proyecto-sauron/
http://mundoejecutivo.com.mx/tecnologia/2016/08/15/proyecto-sauron-virus-oculto-ordenadores
https://actualidad.rt.com/actualidad/215576-sauron-proyecto-ciberespionaje-informatico-atacar