Kaspersky Lab y Symantec descubren el software malicioso "Project Sauron"

Los investigadores han encontrado malware avanzado que puede robar claves de encriptación, recopilar información de computadoras con huecos de aire y registrar las pulsaciones de teclas de alguien sin ser detectado. Los investigadores no tienen idea de quién diseñó el malware, llamado Proyecto Sauron, pero es tan sofisticado que están convencidos de que debe ser una organización "a nivel nacional". En lugar de señalar con los dedos (o respetar señor de los Anillos lore), están llamando al creador del Proyecto Sauron "Strider".

El proyecto Sauron se describió en dos informes, uno de Kaspersky Lab y el otro de Symantec.

Ambas firmas de seguridad se maravillan por su complejidad:

"El actor de amenazas detrás del Proyecto Sauron cuenta con una plataforma de ciberespionaje modular de primer nivel en términos de sofisticación técnica", escribe Kaspersky Lab en su documento sobre la herramienta, "Diseñado para permitir campañas a largo plazo a través del sigilo. Mecanismos de supervivencia acoplados a múltiples métodos de exfiltración ".

Lo que significa que probablemente no fue creado por un pequeño grupo de personas haciendo lo que sea que estén haciendo en esta ridícula escena de "piratería" de Flecha:

En cambio, Kaspersky y Symantec piensan que "Strider" probablemente esté directamente afiliado a un gobierno mundial importante. Las dos empresas de investigación de seguridad no están apuntando con el dedo a los Estados Unidos, pero en su mayor parte, los objetivos del Proyecto Sauron no son amigos de Estados Unidos.

Kaspersky Lab encontró el malware que se esconde en las computadoras en Rusia, Irán y Ruanda; Symantec también lo encontró en dispositivos en Bélgica, Suecia y China. Se dice que el Proyecto Sauron se dirigió a embajadas gubernamentales, compañías de telecomunicaciones, centros de investigación científica y una aerolínea, entre otros grupos.

El Proyecto Sauron ha estado acechando en computadoras confiadas durante bastante tiempo, aprendiendo de sus predecesores como Flame, Duqu y otros programas sofisticados de malware. Es un código extraordinario, y tanto Symantec como Kaspersky están razonablemente seguros de que “Strider” está siendo administrado por un gobierno nacional.

"Strider es capaz de crear herramientas de malware personalizadas y ha operado por debajo del radar durante al menos cinco años", escribe Symantec en su informe sobre el malware sofisticado. "En base a las capacidades de espionaje de su malware y la naturaleza de sus objetivos conocidos, es posible que el grupo sea un atacante a nivel nacional".

El proyecto Sauron se creó para evadir la detección mediante el uso de diferentes tamaños de archivos, nombres y módulos para cada objetivo, lo que dificulta la identificación de los investigadores.

“Los atacantes entienden claramente que nosotros, como investigadores, siempre estamos buscando patrones. Elimine los patrones y la operación será más difícil de descubrir ", escribe Kaspersky Lab en su informe. "Somos conscientes de más de 30 organizaciones atacadas, pero estamos seguros de que esto es solo una pequeña punta del iceberg"

Eso podría tener serias implicaciones para Strider, quienquiera que resulte ser.Corea del Norte se enfrentó a una enorme reacción después de que fue acusada de piratear a Sony en 2014 y, potencialmente, de continuar atacando a otros grupos en los años posteriores.

Si Strider resulta ser estadounidense, no sería la primera vez que EE. UU. Ha desplegado un hack en esta escala. El infame virus Stuxnet, que se cree que fue creado por EE. UU. E Israel, causó graves daños físicos a las instalaciones nucleares de Irán (sobrecargó algunas centrifugadoras sensibles y las cosas explotaron). Solo podría ser una cuestión de tiempo antes de que Irán finalmente tome represalias.

Estos incidentes, junto con muchos otros, plantean una pregunta importante acerca de dónde cae la piratería en la escala entre "crimen" y "declaración de guerra". Hasta que eso se decida, cada truco es una apuesta.

Por supuesto, eso solo es cierto si la creación del Proyecto Sauron se puede atribuir a un estado-nación en particular, y eso probablemente no suceda pronto. Aunque es probable que haya muchas señales con el dedo detrás de las puertas cerradas, todavía no hay suficiente información pública para desenmascarar a Strider. Pero el Proyecto Sauron está escrito en inglés, es lo suficientemente sofisticado como para evadir a los investigadores durante cinco años y se dirigió a personas en puestos importantes.

“La atribución es difícil y la atribución confiable rara vez es posible en el ciberespacio. "Incluso con confianza en varios indicadores y errores aparentes de atacantes, existe una mayor probabilidad de que estos sean humo y espejos creados por un atacante con una mayor ventaja y amplios recursos", escribe Kaspersky Lab en una publicación de blog. "Cuando se trata con los actores de amenazas más avanzados, como en el caso del Proyecto Sauron, la atribución se convierte en un problema sin solución".

Por ahora, Strider permanecerá en las sombras.