Agencias de seguridad de cinco países han emitido un opinión común revelando detalles técnicos sobre una sofisticada herramienta de espionaje utilizada por actores maliciosos rusos contra múltiples objetivos. Según sus investigaciones, el malware Snake y sus variantes están en el centro de las operaciones de espionaje ruso llevadas a cabo por el Centro 16 del Servicio Federal de Seguridad (FSB) ruso desde hace casi veinte años. Identificados en infraestructuras en más de 50 países de América del Norte, América del Sur, Europa, África, Asia y Australia, los protocolos de comunicaciones personalizados de Snake utilizan cifrado y fragmentación para garantizar la privacidad y están diseñados para obstaculizar los esfuerzos de detección y recopilación. El FSB ha utilizado Snake en todo el mundo para recopilar información confidencial de objetivos prioritarios como redes gubernamentales, centros de investigación y periodistas.

Este aviso fue emitido por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Fuerza de Misión Nacional Cibernética (CNMF), el Centro Nacional de Seguridad Cibernética (NCSC) de del Reino Unido, el Centro Canadiense de Seguridad Cibernética (CCCS), el Communications Security Establishment (CSE) de Canadá, el Centro Australiano de Seguridad Cibernética (ACSC) y el NCSC de Nueva Zelanda. Este boletín de seguridad sigue a otra advertencia del NCSC del Reino Unido sobre una nueva categoría de ciberdelincuentes rusos que amenazan la infraestructura crítica.

Índice
  1. La campaña maliciosa de Snake se ve obstaculizada por la Operación MEDUSA
  2. Nodos de infraestructura de red externa específicos
  3. Métodos de detección específicos
  4. Prevención de la persistencia y técnicas de ocultación de las serpientes

La campaña maliciosa de Snake se ve obstaculizada por la Operación MEDUSA

El mismo día que se emitió el aviso, el Departamento de Justicia de EE. UU. anunció la finalización de una operación autorizada por el tribunal, cuyo nombre en código es MEDUSA, para interrumpir una red global de computadoras P2P comprometidas por el malware Snake. La Operación MEDUSA desactivó este malware en sistemas comprometidos utilizando una herramienta creada por el FBI llamada PERSEUS, que emitía comandos que lo obligaban a sobrescribir sus propios componentes vitales. "El anuncio de hoy demuestra la voluntad y la capacidad del FBI para combinar sus autoridades y capacidades técnicas con las de sus socios internacionales para desbaratar a los actores maliciosos", dijo Bryan Vorndran, subdirector de la división de ciberseguridad del FBI. FBI. "Cuando se trata de combatir los intentos de Rusia de atacar a Estados Unidos y nuestros aliados con complejas herramientas de seguridad cibernética, no flaquearemos en nuestro trabajo para desmantelar estos esfuerzos".

Snake se considera la herramienta de ciberespionaje más sofisticada del arsenal del FSB. “En primer lugar, Snake utiliza medios para lograr un nivel poco común de sigilo en los componentes de su host y en las comunicaciones de red. En segundo lugar, la arquitectura técnica interna de Snake incorpora fácilmente componentes nuevos o de reemplazo. Finalmente, Snake demuestra un cuidadoso diseño e implementación de ingeniería de software, y el implante contiene sorprendentemente pocos errores dada su complejidad”. El FSB también ha implementado nuevas técnicas para ayudar a que este malware evada la detección, y la eficacia del implante de ciberespionaje depende de su sigilo a largo plazo para proporcionar acceso constante a inteligencia importante. "Los aspectos particularmente sofisticados de Snake demuestran los considerables esfuerzos realizados por el FSB durante muchos años para permitir este tipo de acceso clandestino".

Nodos de infraestructura de red externa específicos

Snake generalmente se implementa en nodos de infraestructura externos de una red y desde allí utiliza otras herramientas y tácticas, técnicas y procedimientos (TTP) en la red interna para llevar a cabo operaciones de explotación adicionales. “Después de irrumpir en una red objetivo, el FSB normalmente mapea la red y trabaja para obtener credenciales de administrador y acceder a los controladores de dominio. Se ha utilizado una amplia gama de mecanismos para recopilar credenciales de usuarios y administradores para expandirse lateralmente a través de la red, incluida la implementación de registradores de pulsaciones de teclas y rastreadores de redes.

Una vez que los actores mapean una red y obtienen credenciales de administrador para diferentes dominios, comienzan las operaciones de recopilación de datos. En la mayoría de los casos, con Snake, no se implementan otros implantes de alta resistencia y dependen de credenciales y herramientas livianas para el acceso remoto dentro de una red. “Los operadores del FSB a veces despliegan un pequeño caparazón invertido remoto con Snake para permitir operaciones interactivas”, explican las fuerzas policiales y judiciales. "Este shell inverso activable, que el FSB ha utilizado durante unos veinte años, se puede utilizar como vector de acceso de respaldo o para mantener una presencia mínima en una red y evitar la detección mientras se mueve lateralmente". Snake utiliza dos métodos principales para la comunicación y la ejecución de comandos, a saber, el método pasivo y el método activo. Los operadores de Snake suelen utilizar operaciones activas para comunicarse con los puntos de salto dentro de la infraestructura de Snake, mientras que los puntos finales de Snake tienden a utilizar sólo el método pasivo.

Métodos de detección específicos

El aviso de seguridad analiza varios métodos de detección disponibles para Snake, destacando sus ventajas y desventajas.

- Detección basada en red : Los sistemas de detección de intrusiones en la red (NIDS) pueden identificar algunas de las variantes más nuevas de Snake y sus protocolos de red personalizados. Los beneficios incluyen la detección a gran escala (en toda la red) de los protocolos de comunicación personalizados de Snake con un alto nivel de confianza. Las desventajas son la baja visibilidad de las operaciones de participación de Snake y los datos cifrados en tránsito. Las firmas HTTP, HTTP2 y TCP de Snake pueden dar lugar a falsos positivos. Los operadores de serpientes pueden modificar fácilmente las firmas basadas en la red;

- Detección basada en host : Los beneficios incluyen una alta confianza basada en resultados positivos generales para artefactos basados ​​en host. Las desventajas son que muchos artefactos en el host se pueden mover fácilmente para existir en otra ubicación o con otro nombre. Dado que los archivos están completamente cifrados, es difícil identificarlos con precisión;

- Análisis de memoria : Tiene la ventaja de ser muy confiable, porque la memoria proporciona el más alto nivel de visibilidad de los comportamientos y artefactos de Snake. Las desventajas son el impacto potencial en la estabilidad del sistema y la dificultad de escalabilidad.

Prevención de la persistencia y técnicas de ocultación de las serpientes

El aviso también describe estrategias para prevenir la persistencia y las técnicas de ocultamiento de Snake. La primera es que los propietarios de sistemas que se cree que han sido comprometidos cambien inmediatamente sus credenciales (de un sistema no comprometido) y no utilicen ningún tipo de contraseña similar a las utilizadas anteriormente. . “Snake utiliza una función de registro de teclas que envía registros periódicamente a los operadores del FSB. Se recomienda cambiar las contraseñas y los nombres de usuario a valores que no se puedan forzar ni adivinar basándose en contraseñas antiguas. También se recomienda a los propietarios de sistemas que apliquen actualizaciones a sus sistemas operativos, ya que las versiones modernas de Windows, Linux y MacOS hacen que sea mucho más difícil para los adversarios operar en el espacio del kernel. "Esto hará que sea mucho más difícil para los actores de FSB cargar el controlador del kernel Snake en el sistema de destino", continúa la nota.

Si los propietarios del sistema reciben firmas de detección de actividad de implantación de Snake o tienen otros indicadores de compromiso asociados con actores del FSB que utilizan este malware, la empresa afectada debe iniciar inmediatamente su plan de respuesta al incidente documentado, añade el aviso. Esto último debería incluir separar las cuentas de usuario de las cuentas privilegiadas para dificultar que los actores del FSB accedan a las credenciales de administrador, utilizar la segmentación de red para denegar todas las conexiones de forma predeterminada a menos que se requiera explícitamente para una funcionalidad específica del sistema, e implementar una autenticación multifactor resistente al phishing (MFA). ) para agregar una capa adicional de seguridad incluso cuando las credenciales de la cuenta estén comprometidas.