Operación Medusa del FBI neutraliza Spyware Snake

Recientemente las fuerzas de orden de Estados Unidos han comunicado que mediante una operación conjunta bajo el nombre de Medusa, han logrado dar de baja la infraestructura del malware de ciberespionaje Snake, operado desde Rusia desde hace dos décadas hacia objetivos tácticos y estratégicos de diferentes sectores productivos, logrando así crear una red P2P para una comunicación sigilosa entre todos los nodos.

¿Qué es Snake?

Se considera la herramienta de ciberespionaje más sofisticada diseñada y utilizada por el “Center 16 of Russia’s Federal Security Service” (FSB), el cual es utilizado para la recopilación de inteligencia a largo plazo sobre objetivos sensibles o de alto valor.

La sofisticación de Snake proviene de tres áreas principales.

En primer lugar, Snake emplea medios para lograr un raro nivel de sigilo en sus componentes de host y comunicaciones de red.

En segundo lugar, la arquitectura técnica interna de Snake permite la fácil incorporación de componentes nuevos o de reemplazo. Este diseño también facilita el desarrollo y la interoperabilidad de las instancias de Snake que se ejecutan en diferentes sistemas operativos host. Se han observado implantes Snake interoperables para los sistemas operativos Windows, MacOS y Linux.

En tercer lugar, Snake demuestra un cuidadoso diseño e implementación de ingeniería de software y el implante contiene sorprendentemente pocos errores dada su complejidad.

Posterior a la detección de esta ciberamenaza y a los informes de código abierto de las empresas de ciberseguridad e inteligencia de amenazas sobre las tácticas, técnicas y procedimientos (TTP´s) de Snake, el FSB implementó nuevas técnicas para evadir la detección. 

Las modificaciones mejoraron los desafíos en la identificación y recolección de Snake y en los  artefactos relacionados, lo que obstaculiza directamente la detección de las herramientas defensivas basadas tanto en el host como en la red.

El éxito de estas ciberamenazas de espionaje radica principalmente en su sigilo a largo plazo, ya que el objetivo de una operación de espionaje extendida implica permanecer en el objetivo durante meses o años para brindar acceso constante a inteligencia importante. Los aspectos singularmente sofisticados de Snake representan un esfuerzo significativo por parte del FSB durante muchos años para permitir este tipo de acceso encubierto.

Atribución

Según investigaciones anteriores, las operaciones de Snake estarían siendo controladas por el Centro 16 del FSB, una unidad que opera en forma más amplia con herramientas de Turla (Grupo de Ciberdelincuentes de origen Ruso), teniendo subunidades repartidas en distintas locaciones de Rusia haciendo alusión a las históricas operaciones de inteligencia del KBG en la Unión Soviética. Snake utiliza aspectos de la era moderna en las actuales operaciones cibernéticas con alcance a nivel mundial.

El malware Snake comenzó con el nombre de Uroburos a finales de 2003, mientras que las primeras versiones del implante estaban aparentemente finalizadas a principios del 2004 dado que inmediatamente después, actores de amenaza rusos lanzaron ataques con este malware, los que han tenido como principales objetivos  a redes gubernamentales, organizaciones de investigación y periodistas, también detectando dispositivos infectados pertenecientes a la OTAN.

¿Cómo opera?

Para llevar a cabo operaciones con esta herramienta, el FSB creó una red peer-to-peer (P2P) encubierta de numerosos ordenadores infectados con Snake en todo el mundo. 

Se ha identificado la infraestructura de Snake en más de 50 países de América del Norte, América del Sur, Europa, África, Asia y Australia, incluidos los Estados Unidos y la propia Rusia. Aunque Snake usa infraestructura en todas las industrias, su orientación es de naturaleza táctica y con un propósito. A nivel mundial, el FSB ha utilizado Snake para recopilar inteligencia confidencial de objetivos de alta prioridad, como redes gubernamentales, instalaciones de investigación y periodistas. Como ejemplo, los actores del FSB utilizaron a Snake para acceder y extraer documentos confidenciales de relaciones internacionales, así como otras comunicaciones diplomáticas, de una víctima en un país de la Organización del Tratado del Atlántico Norte (OTAN). Dentro de los Estados Unidos, el FSB ha atacado a industrias del rubro de la educación, pymes y organizaciones de medios de comunicación.

¿Cómo fue dado de baja?

Tal y como se describe en los documentos oficiales, la baja de la infraestructura se pudo lograr a través del análisis del malware y la red de Snake con la que posteriormente el FBI desarrolló una herramienta con la capacidad de descifrar y decodificar las comunicaciones denominada PERSEUS, que establece sesiones de comunicación con el implante del malware en un ordenador concreto, y emite comandos que hacen que el implante Snake se desactive a sí mismo sin afectar al ordenador anfitrión ni a las aplicaciones legítimas del ordenador mediante las características incorporadas de autodestrucción.

Herramientas y TTP´s utilizados con Snake

El FSB normalmente implementa Snake en nodos de infraestructura orientados al exterior en una red y desde allí, utiliza otras herramientas y TTP´s para saltar hacia la red interna de las organizaciones, esto con el objeto de realizar operaciones de explotación adicionales a las ya realizadas en la fase anterior . Al obtener y consolidar el ingreso a una red de destino, el FSB generalmente enumera la red y trabaja para obtener credenciales de administrador (admin) y acceder a los controladores de dominio (AD). Se ha empleado una amplia gama de mecanismos para recopilar credenciales de usuario y administrador con el fin de expandirse lateralmente a través de la red, esto objeto incluir registradores de pulsaciones de teclas, rastreadores de red y herramientas de código abierto.
 

Detalle de técnicas Mitre empleadas por Snake
 

Medidas mitigatorias

Se debe tener en cuenta que las mitigaciones entregadas no están destinadas a proteger contra el vector de acceso inicial y sólo están diseñadas para evitar la persistencia de Snake y las técnicas de ocultación.

Por tanto, se recomienda a los propietarios de sistemas que se crean comprometidos por Snake que cambien sus credenciales inmediatamente (desde un sistema no comprometido) y que no utilicen ningún tipo de contraseña similar a las utilizadas anteriormente, ya que este spyware tiene capacidades de keylogger que devuelve rutinariamente los registros a los operadores del FSB. 

Adicionalmente se deben aplicar las últimas actualizaciones a sus sistemas operativos, ya que las versiones modernas de Windows, Linux y MacOS hacen que sea mucho más difícil para los actores de amenaza operar en el espacio del kernel.

El siguiente plugin para el análisis de memoria Volatility escanea todos los procesos del sistema hasta que encuentre el componente de modo de usuario Snake inyectado en un proceso. Si lo encuentra, el plugin listará tanto el proceso inyectado como la dirección de memoria virtual en la que está cargado el componente de modo de usuario Snake.

Recomendaciones post-infección con Malware Snake

Cambiar las contraseñas por defecto evitará que los actores de FSB comprometan las credenciales por defecto para obtener acceso inicial o moverse lateralmente dentro de una red.

Exigir un nivel mínimo de seguridad de las contraseñas en toda la organización evitará que los actores del FSB puedan llevar a cabo con éxito operaciones de reconocimiento o descifrado de contraseñas.

Exigir credenciales únicas evitará que los actores del FSB comprometan cuentas válidas a través de ataques a contraseñas o de fuerza bruta.

Separar las cuentas de usuario y privilegiadas dificultará a los actores de FSB el acceso a las credenciales de administrador.

Segmentación de red para denegar todas las conexiones por defecto a menos que se requieran explícitamente para la funcionalidad específica del sistema, y asegurar que toda la comunicación entrante pasa a través de un cortafuegos configurado correctamente.

Implementar MFA resistente al phishing añade una capa adicional de seguridad incluso cuando las credenciales de la cuenta están comprometidas y puede mitigar una variedad de ataques hacia cuentas válidas, para incluir contraseñas de fuerza bruta y explotar software de servicios remotos externos.

Llevar a cabo un plan de respuesta a incidentes documentando todos los hallazgos en el sistema afectado a fin de detectar en detalle los TTP utilizados por los ciberactores.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.