En septiembre de 2015, la plataforma anti ataques dirigidos de Kaspersky Lab descubrió un prototipo con una marcada característica inusual dentro de la red de un cliente. La anomalía llevó a los analistas hasta ProjectSauron un actor de amenaza estado-nación que ataca a organizaciones estatales con un conjunto de herramientas exclusivo para cada víctima, por lo que los indicadores tradicionales de compromiso fueron inútiles. El objetivo de los ataques parece ser principalmente el ciberespionaje.

ProjectSauron pone foco en acceder a comunicaciones cifradas, usando una plataforma de ciberespionaje avanzado y modular que incorpora un conjunto de herramientas y técnicas únicas. La característica más notable de las tácticas de ProjectSauron es que evita de forma deliberada los patrones: ProjectSauron personaliza sus implantes y su infraestructura para cada objetivo y nunca los reutiliza. Este enfoque, junto con varias rutas para la exfiltración de datos robados, como los canales legítimos de correo electrónico y DNS, permite a ProjectSauron llevar a cabo campañas de ciberespionaje secretas, a largo plazo en las redes de destino.

ProjectSauron parece ser un actor experimentado que ha aprendido de otros actores muy avanzados, incluyendo Duqu, Flame, Equation y Regin. ProjectSauron fusiona algunas de sus técnicas más innovadoras y mejora sus tácticas con el fin de permanecer invisible.

Características principales – herramientas y técnicas de ProjectSauron:
* Huella única: los implantes centrales tienen diferentes nombres de archivo y tamaños y se construyen de forma individual para cada objetivo – por lo que es muy difícil de detectar ya que los mismos indicadores básicos de compromiso tendrían poco valor para cualquier otro objetivo.

* Memoria: El núcleo de los implantes hace uso de secuencias de comandos de actualización de software legítimos y trabaja como un backdoor, descarga nuevos módulos y ejecuta los comandos del ciberatacante únicamente en la memoria.

* Preferencia por las cripto-comunicaciones: ProjectSauron busca activamente información relacionada con un software personalizado de red cifrado bastante extraño. Este software de servidor-cliente lo adoptan en muchas de las organizaciones con el objetivo de asegurar las comunicaciones de voz, correo electrónico o el intercambio de documentos. Los ciberatacantes están particularmente interesados en los componentes de cripto-software, claves, archivos de configuración y la ubicación de los servidores que transmiten mensajes cifrados entre los nodos.

* Flexibilidad basada en secuencias de comandos: ProjectSauron pone en marcha un conjunto de herramientas de bajo nivel que están orquestados por los scripts LUA de alto nivel. El uso de componentes LUA en el malware es muy extraño – sólo se había visto en los ataques Flame y Animal Farm.

* Sin pasar por air-gaps: ProjectSauron hace uso de unidades USB especialmente preparadas para saltar a través de redes air-gap. Estas unidades USB llevan compartimentos ocultos en el que se ocultan datos robados.

* Mecanismos de exfiltración múltiple: ProjectSauron implementa una serie de rutas de exfiltración de datos, incluyendo los canales legítimos, tales como correo electrónico y DNS, con información robada copiada de la víctima afectada en el tráfico del día a día.

Localización geográfica y perfil de la victima
Hasta el momento se han identificado 30 organizaciones, la mayoría de ellas en territorio ruso, aunque es probable que en otras ubicaciones existan muchas más afectadas. Por la propia naturaleza de las operaciones de ProjectSauron es muy complejo descubrir nuevos objetivos.

Según nuestro análisis, las organizaciones que han sido objetivo de los ataques tienen un papel importante como proveedores de servicios estatales e incluyen:

* Gobierno

* Militares

* Centros de investigación científica

* Operadores de telecomunicaciones

* Organizaciones financieras

En análisis forense indica que ProjectSauron está operativo desde junio de 2011 y continúa activo en 2016. El vector inicial de infección utilizado por ProjectSauron para entrar en las redes de sus víctimas es aún un detalle desconocido.

“Un número relevante de ataques dirigidos están sustentados por herramientas de bajo coste, listas para ser utilizadas. Por el contrario ProjectSauron está basado en herramientas fiables y un código programado personalizable El hecho de que utilice indicadores únicos como el control del servidor o las llaves de cifrado junto con técnicas avanzadas extraídas de otras amenazas es algo relativamente novedoso. La única forma de resistir a este tipo de amenazas es tener muchas capas de seguridad y un sistema de control basado en una cadena de sensores que monitoricen hasta la más mínima anomalía en el flujo de trabajo de la organización. A lo anterior hay que, además, sumar la inteligencia para el análisis de amenazas y análisis forense para la búsqueda de patrones incluso cuando parezca que no existen” explica Vitaly Kamluk, investigador principal de seguridad de Kaspersky Lab

El coste, la complejidad, la persistencia y el fin último de la operación están claros: robar información confidencial a organizaciones relacionadas con el gobierno, hecho que hace pensar que pueda existir participación o apoyo de alguna nación.

Los expertos de seguridad de Kaspersky Lab aconsejan a las organizaciones someter a sus redes TI y endpoints a una auditoria en profundidad y que implementen las siguientes medidas:

* Instalar una solución adicional a la protección endpoint que incluya protección para ataques dirigidos. La protección endpoint no es suficiente para combatir los ataques de esta nueva generación de actores-amenaza.

* Ponerse en contacto con expertos en el momento que detecten cualquier anomalía en el funcionamiento de su tecnología. Las soluciones de seguridad más avanzadas pueden identificar un ataque mientras está sucediendo y los profesionales de seguridad son, en muchas ocasiones, los únicos que pueden mitigar, analizar y bloquear de forma eficaz grandes ataques.

* Añadir a los dos puntos anteriores servicios de inteligencia de amenazas. Servirán para informar al personal de seguridad de la última evolución en el panorama de las amenazas, tendencias en ataques y las señales que tienen que tener en cuenta.

* Y por último pero no menos importante, puesto que la mayoría de los grandes ataques comienzan con alguna acción dirigida a los empleados, es fundamental trabajar para que el personal tenga un ciber comportamiento responsable.