El gobierno de EE. UU. anunció el martes la interrupción autorizada por un tribunal de una red global comprometida por una cepa de malware avanzada conocida como Serpiente ejercido por el Servicio de Seguridad Federal de Rusia (FSB).
Snake, apodada la «herramienta de espionaje cibernético más sofisticada», es obra de un grupo patrocinado por el estado ruso llamado Turla (también conocido como Iron Hunter, Secret Blizzard, SUMMIT, Uroburos, Venomous Bear y Waterbug), que el gobierno de EE. UU. atribuye a un unidad dentro del Centro 16 del FSB.
El actor de amenazas tiene un audio grabado de centrarse en gran medida en entidades de Europa, la Comunidad de Estados Independientes (CEI) y países afiliados a la OTAN, con actividades recientes que amplían su presencia para incorporar naciones de Oriente Medio consideradas una amenaza para los países apoyados por Rusia en la región.
«Durante casi 20 años, esta unidad […] ha utilizado versiones del malware Snake para robar documentos confidenciales de cientos de sistemas informáticos en al menos 50 países, que han pertenecido a gobiernos miembros de la Organización del Tratado del Atlántico Norte (OTAN), periodistas y otros objetivos de interés para la Federación Rusa», Departamento de Justicia dicho.
«Después de robar estos documentos, Turla los exfiltró a través de una red encubierta de computadoras involuntarias comprometidas con Snake en los Estados Unidos y en todo el mundo».
La neutralización se orquestó como parte de un esfuerzo denominado Operación MEDUSA por medio de una herramienta creada por la Oficina Federal de Investigaciones (FBI) de EE. UU. con el nombre en código PERSEUS que permitió a las autoridades emitir comandos al malware que hizo que «sobrescribiera sus propios componentes vitales». » en máquinas infectadas.
Las instrucciones de autodestrucción, diseñadas después de descifrar y decodificar las comunicaciones de la red del malware, hicieron que el «implante de serpiente se deshabilitara sin afectar la computadora host o las aplicaciones legítimas en la computadora», dijo la agencia.
Serpiente, según un consultivo lanzado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), está diseñado como una herramienta encubierta para la recopilación de inteligencia a largo plazo sobre objetivos de alta prioridad, lo que permite al adversario crear una red peer-to-peer (P2P) de sistemas comprometidos a través de el mundo.
Además, varios sistemas en la red P2P servían como nodos de retransmisión para enrutar el tráfico operativo encubierto hacia y desde el malware Snake implantado en los objetivos finales de FSB, lo que dificultaba la detección de la actividad.
El malware multiplataforma basado en C emplea además métodos de comunicación personalizados para agregar una nueva capa de sigilo y presenta una arquitectura modular que permite una forma eficiente de inyectar o modificar componentes para aumentar sus capacidades y retener el acceso persistente a información valiosa.
«Snake demuestra un cuidadoso diseño e implementación de ingeniería de software, y el implante contiene sorprendentemente pocos errores dada su complejidad», CISA dichoagregando que las versiones iniciales del implante se desarrollaron a principios de 2004.
«El nombre Uroburos es apropiado, ya que el FSB pasó por etapas casi constantes de actualización y remodelación».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
La infraestructura asociada con el grupo respaldado por el Kremlin se ha identificado en más de 50 países de América del Norte, América del Sur, Europa, África, Asia y Australia, aunque se evalúa que su objetivo es más táctico y abarca redes gubernamentales, centros de investigación y periodistas. .
Los sectores afectados dentro de los EE. UU. incluyen la educación, las pequeñas empresas y las organizaciones de medios, así como los sectores de infraestructura crítica, como las instalaciones gubernamentales, los servicios financieros, la fabricación crítica y las comunicaciones.
A pesar de estos contratiempos, Turla sigue siendo un adversario activo y formidable, que desata una variedad de tácticas y herramientas para violar sus objetivos en Windows, macOS, Linux y Android.
El desarrollo se produce poco más de un año después de que las agencias policiales y de inteligencia de EE. UU. desarmaran una botnet modular conocida como Cyclops Blink controlada por otro actor del estado-nación ruso conocido como Sandworm.