En septiembre de 2015, la plataforma anti ataques dirigidos de Kaspersky Lab descubrió un prototipo con una característica inusual dentro de la red de un cliente. La anomalía llevó a los analistas hasta ProjectSauron, un actor de amenaza estado-nación que ataca a organizaciones estatales con un conjunto de herramientas exclusivo para cada víctima, por lo que los indicadores tradicionales de compromiso fueron inútiles, según informa la compañía de seguridad. El objetivo de los ataques parece ser principalmente el ciberespionaje.
Descubrimos los secretos de ProjectSauron, una plataforma de ciberespionaje de nivel superior que extrae de forma encubierta comunicaciones cifradas de Gobiernos
Comunicaciones cifradas
ProjectSauron pone el foco en acceder a comunicaciones cifradas, usando una plataforma de ciberespionaje avanzado y modular que incorpora un conjunto de herramientas y técnicas únicas. La característica más notable de las tácticas de ProjectSauron es que evita de forma deliberada los patrones. De esta manera, la plataforma personaliza sus implantes y su infraestructura para cada objetivo y nunca los reutiliza. Este enfoque, junto con varias rutas para la exfiltración de datos robados, como los canales legítimos de correo electrónico y DNS, permite a ProjectSauron llevar a cabo campañas de ciberespionaje secretas, a largo plazo en las redes de destino.
Esta plataforma parece ser un actor experimentado que ha aprendido de otros actores muy avanzados y fusiona algunas de sus técnicas más innovadoras y mejora sus tácticas con el fin de permanecer invisible. Hasta el momento se han identificado 30 organizaciones, la mayoría de ellas en territorio ruso, aunque es probable que en otras ubicaciones existan muchas más afectadas, según informa Kaspersky Lab. Por la propia naturaleza de las operaciones de ProjectSauron es muy complejo descubrir nuevos objetivos.
Servicios estatales
Según el análisis llevado a cabo por Kaspersky Lab, las organizaciones que han sido objetivo de los ataques tienen un papel importante como proveedores de servicios estatales e incluyen Gobierno, Militares, Centros de investigación científica, Operadores de telecomunicaciones y Organizaciones financieras. El análisis forense indica que ProjectSauron está operativo desde junio de 2011 y continúa activo en 2016. El vector inicial de infección utilizado por ProjectSauron para entrar en las redes de sus víctimas es aún un detalle desconocido.
“El coste, la complejidad, la persistencia y el fin último de la operación están claros: robar información confidencial a organizaciones relacionadas con el gobierno, hecho que hace pensar que pueda existir participación o apoyo de alguna nación” aseguran los expertos de la compañía de seguridad.
Si (
No(
