El gobierno de EE. UU. anunció el martes la interrupción autorizada por un tribunal de una red global comprometida por una cepa de malware avanzada conocida como Snake , manejada por el Servicio Federal de Seguridad (FSB) de Rusia.
Snake, apodada la «herramienta de espionaje cibernético más sofisticada», es obra de un grupo patrocinado por el estado ruso llamado Turla (también conocido como Iron Hunter, Secret Blizzard, SUMMIT, Uroburos, Venomous Bear y Waterbug), que el gobierno de EE. UU. atribuye a un unidad dentro del Centro 16 del FSB.
El actor de amenazas tiene un historial de centrarse en gran medida en entidades en Europa, la Comunidad de Estados Independientes (CEI) y países afiliados a la OTAN, con actividades recientes que expanden su presencia para incorporar naciones de Medio Oriente consideradas una amenaza para países apoyados por Rusia en la región.
«Durante casi 20 años, esta unidad […] ha utilizado versiones del malware Snake para robar documentos confidenciales de cientos de sistemas informáticos en al menos 50 países, que han pertenecido a gobiernos miembros de la Organización del Tratado del Atlántico Norte (OTAN), periodistas , y otros objetivos de interés para la Federación Rusa», dijo el Departamento de Justicia .
«Después de robar estos documentos, Turla los exfiltró a través de una red encubierta de computadoras involuntarias comprometidas con Snake en los Estados Unidos y en todo el mundo».
La neutralización se orquestó como parte de un esfuerzo denominado Operación MEDUSA por medio de una herramienta creada por la Oficina Federal de Investigaciones (FBI) de EE. UU. con el nombre en código PERSEUS que permitió a las autoridades emitir comandos al malware que hizo que «sobrescribiera sus propios componentes vitales». » en máquinas infectadas.
Las instrucciones de autodestrucción, diseñadas después de descifrar y decodificar las comunicaciones de la red del malware, hicieron que el «implante de serpiente se deshabilitara sin afectar la computadora host o las aplicaciones legítimas en la computadora», dijo la agencia.
Snake, según un aviso publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), está diseñado como una herramienta encubierta para la recopilación de inteligencia a largo plazo sobre objetivos de alta prioridad, lo que permite al adversario crear un punto a punto (P2P). ) red de sistemas comprometidos en todo el mundo.
Además, varios sistemas en la red P2P servían como nodos de retransmisión para enrutar el tráfico operativo encubierto hacia y desde el malware Snake implantado en los objetivos finales de FSB, lo que dificultaba la detección de la actividad.
El malware multiplataforma basado en C emplea además métodos de comunicación personalizados para agregar una nueva capa de sigilo y presenta una arquitectura modular que permite una forma eficiente de inyectar o modificar componentes para aumentar sus capacidades y retener el acceso persistente a información valiosa.
«Snake demuestra un cuidadoso diseño e implementación de ingeniería de software, y el implante contiene sorprendentemente pocos errores dada su complejidad», dijo CISA , y agregó que las versiones iniciales del implante se desarrollaron a principios de 2004.
«El nombre Uroburos es apropiado, ya que el FSB pasó por etapas casi constantes de actualización y remodelación».
La infraestructura asociada con el grupo respaldado por el Kremlin se ha identificado en más de 50 países de América del Norte, América del Sur, Europa, África, Asia y Australia, aunque se evalúa que su objetivo es más táctico y abarca redes gubernamentales, centros de investigación y periodistas. .
Los sectores afectados dentro de los EE. UU. incluyen la educación, las pequeñas empresas y las organizaciones de medios, así como los sectores de infraestructura crítica, como las instalaciones gubernamentales, los servicios financieros, la fabricación crítica y las comunicaciones.
A pesar de estos contratiempos, Turla sigue siendo un adversario activo y formidable , que desata una variedad de tácticas y herramientas para violar sus objetivos en Windows, macOS, Linux y Android.
El desarrollo se produce poco más de un año después de que las agencias policiales y de inteligencia de EE. UU. desarmaran una botnet modular conocida como Cyclops Blink controlada por otro actor del estado-nación ruso conocido como Sandworm.
Fuente y redacción: thehackernews.com
