TecTop
El Departamento de Justicia de EE. UU. tiene otra pluma en su gorra de guerra cibernética después de desmantelar la red de delitos cibernéticos de Turla, una banda criminal vinculada a Rusia llamada uno de los grupos de espionaje cibernético más sofisticados del mundo.
Funcionarios federales anunciaron el martes que las agencias de ciberseguridad e inteligencia de todas las naciones miembros de Five Eyes han eliminado la infraestructura utilizada por el malware de ciberespionaje Snake operado por el Servicio Federal de Seguridad (FSB) de Rusia.
El Departamento de Justicia también informó que neutralizó el malware Snake que usó el grupo. Los informes afirman que se encontró en computadoras en 50 países y que la inteligencia de EE. UU. lo etiquetó previamente como «uno de los conjuntos de malware más sofisticados utilizados por los servicios de inteligencia rusos».
Ciberactores malintencionados utilizaron Snake para acceder y extraer documentos confidenciales de relaciones internacionales y otras comunicaciones diplomáticas a través de una víctima en un país de la OTAN. En los EE. UU., el FSB ha victimizado a industrias, incluidas instituciones educativas, pequeñas empresas y organizaciones de medios.
Infraestructura crítica afectada por el envejecimiento de Snake Malware
Los sectores de infraestructura crítica, como el gobierno local, las finanzas, la fabricación y las telecomunicaciones, también se han visto afectados, según los informes de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). CISA es la agencia líder responsable de proteger la infraestructura crítica de la nación de las amenazas físicas y cibernéticas.
El anuncio de eliminación sorprendió a algunos expertos en seguridad cibernética debido a su naturaleza obsoleta. El FSB todavía estaba usando Snake hasta el derribo. La puerta trasera de Snake es un marco antiguo que se desarrolló en 2003 y muchos proveedores de seguridad lo vincularon varias veces al FSB, según Frank van Oeveren, gerente de Threat Intelligence & Security Research en Fox-ITparte de Grupo CNC.
“Normalmente, uno esperaría que los actores del estado-nación quemaran el marco y comenzaran a desarrollar algo nuevo. Pero Snake en sí mismo es sofisticado y está bien organizado, lo que muestra cuánto tiempo y dinero se gastó en desarrollar el marco”, dijo a TechNewsWorld.
Victoria de alto perfil
“Durante 20 años, el FSB se ha basado en el malware Snake para realizar espionaje cibernético contra los Estados Unidos y nuestros aliados, eso termina hoy”, dijo el Fiscal General Adjunto Matthew G. Olsen de la División de Seguridad Nacional del Departamento de Justicia.
Claramente, los operadores de la puerta trasera de Snake cometieron algunos errores. A menudo, así es como los detectives cibernéticos tienen éxito en los derribos, señaló van Oeveren.
“A lo largo de los años, se realizaron múltiples derribos de puertas traseras/botnets del Servicio de Inteligencia Ruso, lo que muestra un cierto grado de amateurismo. Pero Turla ha demostrado sus habilidades y creatividad [throughout]y esto no debe subestimarse”, dijo.
Según el equipo Fox-IT de NCC Group, la puerta trasera de Snake solo se usa para objetivos de alto perfil, como gobiernos, el sector público u organizaciones que trabajan en estrecha colaboración con estos dos.
“Esta puerta trasera se usa únicamente para espionaje y permanecer bajo el radar el mayor tiempo posible”, dijo.
Ocultos a plena vista
Hace algunos años, el equipo de seguridad de van Oeveren trabajó en un caso de respuesta a incidentes en el que se observó el malware Snake. Durante este caso, Turla pasó desapercibida durante algunos años y solo fue encontrada por pura suerte, explicó van Oeveren. La puerta trasera se utilizó para exfiltrar documentos confidenciales relacionados con la organización de la víctima.
“Lo más probable es que Turla continúe con un marco diferente, pero siempre es una sorpresa lo que hará el grupo”, ofreció.
En los últimos tiempos, el Servicio de Inteligencia Ruso ha creado múltiples puertas traseras en diferentes lenguajes de programación, señaló van Oeveren. Esto demuestra la fuerza de voluntad para desarrollar nuevas herramientas para sus operaciones, y espera que ahora desarrollen un juego de herramientas similar en un lenguaje de programación diferente.
“No subestimes al grupo que usa la puerta trasera de Snake. Como hemos visto antes, es persistente y generalmente pasa desapercibido durante muchos años antes de ser descubierto en una red de destino”, advirtió.
Las víctimas de serpientes siempre deben abordar los compromisos de Snake/Turla con firmas de respuesta a incidentes de renombre. Advirtió que estos ataques y el uso de puertas traseras son demasiado sofisticados para manejarlos por su cuenta.
Mantenerse más seguro
Las organizaciones pueden tomar varias medidas para protegerse de los ataques de malware como Snake Malware, aconsejó James Lively, especialista en investigación de seguridad de punto final en tanio. Estos esfuerzos incluyen garantizar que la organización tenga un inventario preciso de los activos, que los sistemas estén parcheados y actualizados, que se lleven a cabo campañas de phishing y capacitación, y que se implementen controles de acceso sólidos.
“La cooperación internacional también se puede mejorar para abordar el delito cibernético fomentando el intercambio de información y la firma de acuerdos y NDA y realizando investigaciones conjuntas”, dijo a TechNewsWorld.
La mayor amenaza de seguridad cibernética que enfrentan las organizaciones hoy en día es la amenaza interna. Las organizaciones pueden hacer poco para evitar que un empleado descontento o alguien con acceso elevado cause daños catastróficos.
“Para combatir esta amenaza, las organizaciones deben buscar limitar el acceso a los recursos y asignar la cantidad mínima de permisos a los usuarios que necesitan para realizar sus funciones”, sugirió Lively.
La principal lección que se debe aprender de la interrupción de la red de malware Snake es que solo se necesita un sistema sin parches o un usuario no capacitado para hacer clic en un enlace de phishing para comprometer a toda una organización, explicó. La fruta al alcance de la mano o tomar la ruta con la menor resistencia es a menudo la primera vía a la que apunta un atacante.
“Un excelente ejemplo de esto es un sistema antiguo sin parches que es público frente a Internet y que la organización ha olvidado”, ofreció como ejemplo.
Esencial Cooperación Internacional
Desmantelar una extensa red dirigida por una agencia de seguridad a nivel estatal es, sin duda, una tarea importante. Pero incluso con eso, sigue siendo sorprendente que el malware Snake haya podido operar durante tanto tiempo, observó Mike Parkin, ingeniero técnico sénior de la firma de remediación de riesgos cibernéticos empresariales. Vulcano cibernético.
Los actores de amenazas pueden usar muchos vectores de ataque diferentes para descargar sus cargas útiles de malware, por lo que nunca hay una sola cosa. Dicho esto, la educación de los usuarios es vital, ya que los usuarios de una organización son la superficie de amenazas más amplia y compleja.
Las organizaciones también deben asegurarse de que sus sistemas operativos y aplicaciones se mantengan actualizados con un programa de parches consistente y efectivo, y asegurarse de que las aplicaciones se implementen según las mejores prácticas de la industria con configuraciones seguras también es una necesidad, según Parkin.
“Al tratar con temas de política internacional y geopolítica, puede ser un verdadero desafío cooperar a través de las fronteras de manera efectiva. La mayoría de los países occidentales pueden trabajar juntos, aunque los desafíos jurisdiccionales a menudo se interponen en el camino. Y obtener la cooperación de naciones que pueden ser poco cooperativas en el mejor de los casos y activamente hostiles en el peor puede hacer que sea imposible lidiar con algunos actores de amenazas”, dijo a TechNewsWorld.
