Kaspersky Lab i Symantec Descobreixen el malware "Project Sauron"

Els investigadors han trobat programes maliciosos avançats que poden robar claus de xifratge, recopilar informació d’ordinadors amb aire apte i gravar les pulsacions d’onades sense ser detectades. Els investigadors no tenen idea de qui va dissenyar el malware, denominat Projecte Sauron, però és tan sofisticat que estan convençuts que ha de ser una organització "a nivell de nació". En lloc de senyalar els dits (o respectar-los) senyor dels Anells tradició), criden al creador del projecte Sauron "Strider".

El projecte Sauron es va esbossar en dos informes, un de Kaspersky Lab i l'altre de Symantec.

Les dues empreses de seguretat es meravellen de la seva complexitat:

"L’actor d’amenaça darrere de Project Sauron comanda una plataforma de ciberespionatge modular de primer nivell en termes de sofisticació tècnica", escriu Kaspersky Lab en el seu document sobre l’eina, "Dissenyat per permetre campanyes a llarg termini a través d’un furtiu mecanismes de supervivència juntament amb mètodes múltiples d’exfiltració ”.

El que significa que probablement no s’ha creat per un petit grup de persones que feien allò que estaven fent en aquesta ridícula escena de "pirateria" de Fletxa:

En el seu lloc, Kaspersky i Symantec pensen que "Strider" probablement estigui afiliat directament amb un govern mundial important. Les dues empreses d’investigació en seguretat no assenyalen els Estats Units, però la majoria dels objectius del projecte Sauron no són amics d’Amèrica.

Kaspersky Lab va trobar el malware que estava a l'aguait en els ordinadors de Rússia, Iran i Rwanda; Symantec també el va trobar en dispositius a Bèlgica, Suècia i Xina. Es diu que el projecte Sauron va dirigir ambaixades governamentals, empreses de telecomunicacions, centres de recerca científica i una companyia aèria, entre altres grups.

El projecte Sauron ha estat a la recerca d'ordinadors desprevinguts des de fa un temps, aprenent dels seus predecessors com Flame, Duqu i altres sofisticats programes maliciosos. És una peça de codi extraordinària, i Symantec i Kaspersky estan raonablement convençuts que "Strider" està sent gestionat per un govern nacional.

"Strider és capaç de crear eines de malware personalitzades i ha funcionat per sota del radar durant almenys cinc anys", escriu Symantec en el seu informe sobre el sofisticat malware. "A partir de les capacitats d'espionatge del seu malware i de la naturalesa dels seus objectius coneguts, és possible que el grup sigui un atacant a nivell nacional."

Project Sauron es va construir per evadir la detecció utilitzant diferents mides de fitxers, noms i mòduls per a cada objectiu, la qual cosa dificulta la identificació dels investigadors.

"Els atacants entenen clarament que, com a investigadors, sempre busquem patrons. Elimineu els patrons i l’operació serà més difícil de descobrir ”, escriu Kaspersky Lab en el seu informe. "Som conscients que més de 30 organitzacions han estat atacades, però estem segurs que aquesta és només una petita punta de l'iceberg"

Això podria tenir greus implicacions per a Strider, qui sigui qui pugui resultar.Corea del Nord es va enfrontar a una reacció enorme després que se li acusés de piratejar Sony el 2014 i, potencialment, continuï dirigint-se a altres grups des de llavors.

Si Strider és americà, no seria la primera vegada que els Estats Units hagin desplegat un hack en aquesta escala. El famós virus Stuxnet, que es diu que va ser creat pels Estats Units i Israel, va causar greus danys físics a les instal·lacions nuclears d’Iran (que sobrecarguen algunes centrífugues sensibles i van explotar coses). Només podria ser una qüestió de temps abans que Iran representi.

Aquests incidents, juntament amb molts altres, plantegen una qüestió important sobre on la pirateria cau a l'escala entre el "crim" i la "declaració de guerra". Fins que no s’hagi decidit, tots els pirates són una aposta.

Per descomptat, això només és cert si la creació del projecte Sauron es pot atribuir a qualsevol estat nació en particular, i això probablement no passarà aviat. Tot i que probablement hi hagi molts indicadors a la porta tancada, no hi ha prou informació pública per desemmascarar Strider. Però el Projecte Sauron està escrit en anglès, és prou sofisticat per evadir els investigadors durant cinc anys, i es va dirigir a persones en llocs importants.

"L'atribució és difícil i l'atribució fiable és rarament possible al ciberespai. Fins i tot amb confiança en diversos indicadors i aparents errors dels atacants, hi ha una major probabilitat que siguin fums i miralls creats per un atacant amb un punt de vista més gran i uns recursos immensos ”, escriu Kaspersky Lab en una entrada de bloc. "Quan es tracta dels actors d’amenaça més avançats, com és el cas de Projecte Sauron, l’atribució es converteix en un problema insoluble".

Per ara, Strider romandrà a les ombres.