De Segu-Info.COM.AR: Sauron/Strider, APT de 5 años de edad

Sauron/Strider, APT de 5 años de edad

10 ago. 2016, 08:16:00

Expertos en seguridad informática han descubierto un malware muy sofisticado en su diseño y ejecución oculto en los ordenadores afectados durante al menos cinco años, que han bautizado con el nombre de Proyecto Sauron y creen que fue desarrollado por un Estado y estaría al nivel de Stuxnet, Equation, Flame y Duqu.

Strider-infographic_0

Según un informe publicado por la firma de seguridad Symantec y el Laboratorio Kaspersky, el malware lleva activo desde al menos el año 2011 y ha afectado al menos a 36 objetivos. Según Symantec, este malware permite robar documentos y facilita un amplio acceso al ordenador infectado.

Symantec ha atribuido al grupo Strider la creación de este poderoso ‘software’, mientras que el laboratorio Kaspersky lo denominó Sauron —en alusión al personaje ficticio de la legendaria saga creada por el autor británico J.R.R. Tolkien—, debido a que encontró esta palabra en un fragmento de su código fuente.

projectsauron_eng_1-1024x378

Entre las víctimas del ataque cibernético figuran agencias gubernamentales, centros de investigación científica, organizaciones militares e instituciones financieras en Rusia, Irán, Ruanda, China, Suecia y Bélgica.

“El grupo usa un malware avanzado conocido como Remsec para realizar sus ataques”, afirmó Symantec, que destacó que el citado malware suele usarse fundamentalmente con fines de espionaje.

Los expertos del Laboratorio Kaspersky definen el “Proyecto Sauron una plataforma modular que facilita campañas de ciberespionaje a largo plazo”. Esta herramienta modular actúa como un analizador de protocolos de red que trabaja con los últimos algoritmos de seguridad y de cifrado. Es capaz de capturar claves, robar documentos, almacenar códigos especiales y llaves de cifrado. Afecta tanto a los computadores infectados como a los dispositivos USB conectados a estos.

El malware deja huellas diferentes en cada uno de los aparatos infectados, lo que implica que los datos recopilados en uno de los objetivos afectados no ayudan a los investigadores a descubrir otras infecciones.

“Los atacantes entienden, claramente, que nosotros los investigadores estamos siempre buscando patrones. Elimina esos patrones y resultará mucho más difícil descubrir la operación”, afirmaron los investigadores. Kaspersky asegura que una operación de esta magnitud se encuentra en la cúspide del ciberespionaje y pudo haber sido ejecutada únicamente con soporte gubernamental.

Estima que el desarrollo de este código cuenta con la participación de varios equipos de especialistas y un presupuesto de varios millones de dólares. Además, ha comparado su ejecución con el virus Stuxnet, famoso por atacar las centrifugadoras de la central nuclear iraní de Natanz en 2010.

Fuente: RT

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en APT, Espionaje, Malware, Robo de Información, Seguridad. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *