Symantec y Kaspersky Lab anunciaron la semana pasada por separado el descubrimiento de una sofisticada amenaza que había eludido a los investigadores de seguridad durante al menos cinco años.
Un grupo desconocido llamado «Strider» ha estado utilizando Remsec, una herramienta avanzada que parece estar diseñada principalmente para espiar. Su código contiene una referencia a Sauron, el principal villano en «el señor de los anillos», de acuerdo con Symantec.
El software espía APT se llama «ProjectSauron» o «Strider» en el informe de Kaspersky.
El malware ha estado activo desde al menos octubre de 2011, dijo Symantec. Se obtuvo una muestra después de su motor de comportamiento detectado en sistemas de un cliente.
Kaspersky se enteró de ProjectSauron cuando su software cogió una biblioteca ejecutable registrada como un filtro de contraseña de Windows cargado en la memoria de un controlador de dominio de Windows. La biblioteca tenía acceso a los datos confidenciales sin cifrar.
«Al enterarse de que algunos de malware sofisticado ha estado funcionando en su infraestructura durante media década sin detección es ciertamente doloroso», dijo Sándor Bálint, Jefe de Seguridad de la ciencia aplicada a los datos BalaBit .
«La instalación de software antivirus y ejecutar un servidor de seguridad personal sólo proporcionan un mínimo de protección», TechNewsWorld.
Se mueve de Strider
El software espía es modular, y que incluye un monitor de red. Se puede desplegar módulos especiales como sea necesario. Abre puertas traseras en los ordenadores infectados, y puede registrar las pulsaciones del teclado y robar archivos.
Sus módulos crean un marco que proporciona un control total sobre la computadora infectada, dijo Symantec, moviéndose a través de una red y robo de datos.
El cifrado es muy utilizado para evitar la detección, ya que son características de sigilo. Varios componentes son en forma de ejecutables objetos binarios grandes, o manchas, que son difíciles para el software antivirus tradicional detectar, según Symantec.
Además, gran parte de la funcionalidad del software espía se despliega en la red, por lo que sólo reside en la memoria de un ordenador y no en el disco, haciendo difícil su detección.
Objetivos de Strider
Symantec ha encontrado evidencia de infecciones en 36 computadoras a través de siete organizaciones separadas. Se ha detectado que en los ordenadores de los individuos en Rusia, en una línea aérea en China, en una organización en Suecia, y en una embajada en Bélgica.
Kaspersky ha encontrado más de 30 organizaciones infectadas en Rusia, Irán y Ruanda, y se sospecha que Italia también han sido blanco.
Kaspersky recogió 28 dominios vinculados a 11 direcciones IP en los Estados Unidos y varios países europeos, que podrían estar relacionados con las campañas ProjectSauron.
Los objetivos podrían ser considerados de menor importancia, pero «el hecho de que ellos no son los objetivos típicos de las campañas de APT hace que este sea más interesante,» dijo John DiMaggio, analista de inteligencia de amenazas de Symantec.
El gran juego?
Un Estado o Nación podría estar detrás de la APT, tanto Symantec y Kaspersky han sugerido.
El malware es comparable con Duqu y Regin, según Kaspersky.
El software espía parece haber pasado, pero «no se puede hacer comentarios sobre si o no las operaciones han cesado,» DiMaggio de Symantec TechNewsWorld.
Si Strider es de hecho un atacante de un estado-nación, «lo más probable es sólo una cuestión de tiempo antes de que nuevos ataques, nuevas víctimas y objetivos», añadió.
La mitigación de una violación es similar al tratamiento del cáncer, observó Brian Beyer, CEO de Red Canaria .
«Incluso después del tratamiento extenso y exitoso, el paciente se encuentra en remisión, no se cura», dijo a TechNewsWorld, y «necesita controles de salud más intensivos para la vida, para identificar cualquier actividad perturbadora temprana.»
sistemas antimalware «dejan de 99,999 % de los ataques conocidos», afirmó el CEO BalaBit Zoltán Györkő.
Sin embargo, la APT Strider imitaba un módulo de filtro de contraseña, que «es otra clara señal de que las contraseñas están muertas y es necesario una nueva autenticación», dijo a TechNewsWorld. «La única manera de atrapar a estos ataques es detectar cambios en el comportamiento de los usuarios en los puntos extremos.»