{"id":7468,"date":"2016-08-08T21:33:39","date_gmt":"2016-08-08T21:33:39","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7468"},"modified":"2022-05-05T09:51:20","modified_gmt":"2022-05-05T15:51:20","slug":"projectsauron-plataforma-de-espionaje-de-alto-nivel-que-roba-las-comunicaciones-cifradas-de-gobiernos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/projectsauron-plataforma-de-espionaje-de-alto-nivel-que-roba-las-comunicaciones-cifradas-de-gobiernos\/7468\/","title":{"rendered":"ProjectSauron: plataforma de espionaje de alto nivel que roba las comunicaciones cifradas de gobiernos"},"content":{"rendered":"<p><span lang=\"ES-TRAD\">ProjectSauron se interesa especialmente en ganar acceso a las comunicaciones cifradas, a las que ataca utilizando una plataforma avanzada de ciberespionaje modular que incorpora un conjunto exclusivo de herramientas y t\u00e9cnicas. La caracter\u00edstica m\u00e1s notable de las t\u00e1cticas de ProjectSauron es que evitan repetirse deliberadamente: ProjectSauron utiliza un conjunto de implantes implantes e infraestructura para cada objetivo individual, y nunca los reutiliza. Este m\u00e9todo, junto con varias rutas para la extracci\u00f3n de los datos robados, como es el caso de canales leg\u00edtimos de correo electr\u00f3nico y DNS, le permite a ProjectSauron realizar prolongadas campa\u00f1as secretas de espionaje en las redes que son sus objetivos.<\/span><\/p>\n<p><span lang=\"ES-TRAD\">\u00a0<\/span><span lang=\"ES-TRAD\">ProjectSauron da la impresi\u00f3n de ser un actor experimentado y tradicional que ha realizado esfuerzos considerables para aprender de otros actores extremadamente avanzados, entre los que se incluyen <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/securelist.com\/blog\/incidents\/32668\/the-mystery-of-duqu-part-ten-18\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"ES-TRAD\">Duqu<\/span><\/a><span lang=\"ES-TRAD\">,<\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/securelist.com\/blog\/incidents\/34344\/the-flame-questions-and-answers-51\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"ES\">Flame<\/span><\/a><span lang=\"ES-TRAD\">, <\/span><span lang=\"ES\">Equation <\/span><span lang=\"ES-TRAD\">y Regin, ya que adopta algunas de las t\u00e9cnicas m\u00e1s innovadoras de estos y mejora sus t\u00e1cticas con el fin de permanecer sin ser descubierto.<\/span><\/p>\n<p><b><span lang=\"ES-TRAD\">\u00a0<\/span><\/b><\/p>\n<p><b><span lang=\"ES-TRAD\">Caracter\u00edsticas principales<\/span><\/b><\/p>\n<p><span lang=\"ES-TRAD\">Algunas de las<b> <\/b>herramientas y t\u00e9cnicas de particular inter\u00e9s de ProjectSauron incluyen:<b><\/b><\/span><\/p>\n<ul type=\"disc\">\n<li><b><span lang=\"ES-TRAD\">Una huella particular. <\/span><\/b><span lang=\"ES-TRAD\">Los Implantes principales que tienen diferentes nombres y tama\u00f1os de archivos y se construyen de forma individual para cada objetivo, lo que hace muy dif\u00edcil de detectar, ya que un mismo indicador b\u00e1sico de problemas tendr\u00eda poco valor para cualquier otro <\/span><span lang=\"ES\">objetivo.<\/span><\/li>\n<li><b><span lang=\"ES-TRAD\">Funciona en la memoria: <\/span><\/b><span lang=\"ES-TRAD\">Los implantes principales hacen uso de secuencias de mandos en software leg\u00edtimo actualizado y trabajan como programas furtivos, bajando nuevos m\u00f3dulos o ejecutando \u00f3rdenes del atacante puramente en la <\/span><span lang=\"ES\">memoria.<\/span><\/li>\n<li><b><span lang=\"ES-TRAD\">Una tendencia hacia las criptocomunicaciones: <\/span><\/b><span lang=\"ES-TRAD\">ProjectSauron busca activamente informaci\u00f3n relacionada con software de cifrado de red personalizado, algo bastante raro. Este software cliente-servidor es ampliamente adoptado por muchas de las organizaciones que son su objetivo para asegurar el intercambio de comunicaciones, voz, correo electr\u00f3nico y documentos. Los atacantes est\u00e1n particularmente interesados en los componentes del software de cifrado, claves, archivos de configuraci\u00f3n y la ubicaci\u00f3n de los servidores que transmiten los mensajes cifrados entre los <\/span><span lang=\"ES\">nodos.<\/span><\/li>\n<li><b><span lang=\"ES-TRAD\">Flexibilidad basada en secuencias de mandos: <\/span><\/b><span lang=\"ES-TRAD\">El agente ProjectSauron ha puesto en marcha un conjunto de herramientas de bajo nivel que est\u00e1n orquestadas por secuencias de mandos LUA de alto nivel. El uso de componentes LUA en el malware es muy raro, pues s\u00f3lo se hab\u00eda visto en los ataques de Flame y Animal <\/span><span lang=\"ES\">Farm.<\/span><\/li>\n<li><b><span lang=\"ES-TRAD\">Traspasando el dise\u00f1o de la seguridad de las redes de air gaps: <\/span><\/b><span lang=\"ES-TRAD\">ProjectSauron hace uso de unidades USB especialmente preparadas para burlar las redes provistas de <i>air gaps<\/i>. Estas unidades USB llevan compartimentos ocultos en los que se esconden los datos <\/span><span lang=\"ES\">robados.<\/span><\/li>\n<\/ul>\n<p><span lang=\"ES-TRAD\">\u00b7\u00a0 \u00a0 \u00a0 \u00a0 <\/span><b><span lang=\"ES-TRAD\">Diferentes mecanismos de extracci\u00f3n<\/span><\/b><span lang=\"ES-TRAD\">: ProjectSauron implementa una serie de rutas para la extracci\u00f3n de los datos, entre las que se incluyen canales leg\u00edtimos, como el correo electr\u00f3nico y el DNS, con informaci\u00f3n robada y copiada de la v\u00edctima encubierta en el tr\u00e1fico regular..<\/span><\/p>\n<p><b><span lang=\"ES-TRAD\">Perfil y geograf\u00eda de las v\u00edctimas<\/span><\/b><\/p>\n<p><span lang=\"ES-TRAD\">Hasta la fecha m\u00e1s de 30 v\u00edctimas de diferentes organizaciones se han identificado en Rusia, Ir\u00e1n y Ruanda, y puede que haya otras en pa\u00edses de habla italiano. Pensamos que muchas m\u00e1s organizaciones y geograf\u00edas ser\u00e1n afectadas<\/span><\/p>\n<p><span lang=\"ES-TRAD\">Seg\u00fan nuestro an\u00e1lisis, las organizaciones atacadas generalmente juegan un papel clave en la prestaci\u00f3n de servicios del estado e incluyen:<\/span><\/p>\n<p><span lang=\"ES-TRAD\">\u00a0<\/span><\/p>\n<ul type=\"disc\">\n<li><span lang=\"ES-TRAD\">Gobierno<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Instituciones militares<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Centros de investigaci\u00f3n cient\u00edfica<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Operadores de telecomunicaciones<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Organizaciones financieras<\/span><\/li>\n<\/ul>\n<p><span lang=\"ES-TRAD\">Los an\u00e1lisis forenses indican que ProjectSauron ha estado operando desde junio de 2011 y a\u00fan permanece activo en 2016. El vector inicial de infecci\u00f3n utilizado por ProjectSauron para penetrar las redes de las v\u00edctimas sigue siendo desconocido.<\/span><\/p>\n<p><i><span lang=\"ES-TRAD\">\u201cVarios ataques dirigidos actualmente dependen de herramientas de bajo costo que pueden adquirirse\u00a0 f\u00e1cilmente. ProjectSauron, por el contrario, es uno de los que depende de herramientas de fabricaci\u00f3n casera confiables y de c\u00f3digo escrito personalizado. El solo uso de indicadores \u00fanicos, como el servidor de control, las claves de cifrado y m\u00e1s, adem\u00e1s de la adopci\u00f3n de t\u00e9cnicas de vanguardia copiadas de otros agentes principales de amenazas, es bastante nuevo. La \u00fanica manera de resistir este tipo de amenazas es teniendo instaladas muchas capas de seguridad, basadas en una cadena de sensores que controlen hasta la m\u00e1s m\u00ednima anomal\u00eda en el flujo de trabajo de la organizaci\u00f3n, multiplicado con inteligencia contra las amenazas y an\u00e1lisis forense para detectar patrones, incluso cuando no parece que haya ninguno\u201d,<\/span><\/i><span lang=\"ES-TRAD\"> dijo <b>Vitaly Kamluk, investigador principal de seguridad en Kaspersky Lab.<\/b><\/span><\/p>\n<p><span lang=\"ES-TRAD\">\u00a0<\/span><\/p>\n<p><span lang=\"ES-TRAD\">El costo, la complejidad, la persistencia y el objetivo final de la operaci\u00f3n, robar informaci\u00f3n confidencial y secreta de organizaciones estatales, sugieren la participaci\u00f3n o el apoyo de una naci\u00f3n o estado.<\/span><\/p>\n<p><span lang=\"ES-TRAD\">Los expertos en seguridad de Kaspersky Lab aconsejan a las organizaciones realizar una auditor\u00eda a fondo de sus redes de TI y terminales para poner en pr\u00e1ctica las siguientes medidas:<\/span><\/p>\n<ul>\n<li><span lang=\"ES-TRAD\">Introducir una soluci\u00f3n contra ataques dirigidos, junto con protecci\u00f3n nueva o existente para <i>endpoints<\/i>. Por s\u00ed sola, la protecci\u00f3n para <i>endpoints<\/i> no es suficiente para resistir la nueva generaci\u00f3n de agentes de amenazas.<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Llamar a los expertos si la tecnolog\u00eda se\u00f1ala la presencia de una anomal\u00eda. Las soluciones de seguridad m\u00e1s avanzadas podr\u00e1n detectar un ataque incluso cuando est\u00e1 sucediendo, y los profesionales de la seguridad son a veces los \u00fanicos que pueden bloquear, mitigar y analizar de manera eficaz los grandes<\/span><span lang=\"ES\">ataques.<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Complementar las medidas anteriores con servicios de inteligencia de amenazas: esto mantendr\u00e1 informados a los equipos de seguridad sobre la evoluci\u00f3n m\u00e1s reciente en el panorama de las amenazas, las tendencias de ataque y los signos a tener en <\/span><span lang=\"ES\">cuenta<\/span><span lang=\"ES-TRAD\">.<\/span><\/li>\n<li><span lang=\"ES-TRAD\">Y, por \u00faltimo, pero no menos importante, puesto que muchos grandes ataques comienzan con el spear-phishing u otro m\u00e9todo dirigido a los empleados, aseg\u00farese de que el personal entienda y mantenga un comportamiento cibern\u00e9tico responsable.<\/span><\/li>\n<\/ul>\n<p><span lang=\"ES-TRAD\">El informe completo sobre ProjectSauron se ha puesto a disposici\u00f3n de los clientes del servicio de informes de inteligencia APT de Kaspersky Lab por adelantado. M\u00e1s informaci\u00f3n en: <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/www.kaspersky.com\/enterprise-security\/apt-intelligence-reporting\" target=\"_blank\" rel=\"noopener noreferrer nofollow\"><span lang=\"ES-TRAD\">https:\/\/www.kaspersky.com\/enterprise-security\/apt-intelligence-reporting<\/span><\/a><\/p>\n<p><span lang=\"ES-TRAD\">Los <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/securelist.com\/files\/2016\/07\/The-ProjectSauron-APT_IOCs_KL.pdf\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"ES-TRAD\">indicadores de compromiso<\/span><\/a><span lang=\"ES-TRAD\"> y las reglas Yara est\u00e1n disponibles <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/kas.pr\/c9SH\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"ES-TRAD\">aqu\u00ed<\/span><\/a><span lang=\"ES-TRAD\">.<\/span><\/p>\n<p><span lang=\"ES-TRAD\">Todos los productos de Kaspersky Lab detectan las muestras de ProjectSauron como HEUR: Trojan.Multi.Remsec.gen<\/span><\/p>\n<p><span lang=\"ES-TRAD\">Para obtener m\u00e1s informaci\u00f3n sobre ProjectSauron, lea el art\u00edculo en <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/securelist.com\/analysis\/publications\/75533\/faq-the-projectsauron-apt\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span lang=\"ES-TRAD\">Securelist.com<\/span><\/a><\/p>\n<p><span lang=\"ES-TRAD\">Informaci\u00f3n adicional sobre c\u00f3mo los productos de Kaspersky Lab pueden proteger a los usuarios contra esta amenaza est\u00e1 disponible <\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/www.kaspersky.com\/enterprise-security\/intelligence-services\" target=\"_blank\" rel=\"noopener noreferrer nofollow\"><span lang=\"ES-TRAD\">aqu\u00ed<\/span><\/a><span lang=\"ES-TRAD\">.<\/span><\/p>\n<p><span lang=\"ES\">\u00a0<\/span><span lang=\"ES-TRAD\">Acerca de Kaspersky Lab<\/span><\/p>\n<p><strong><span lang=\"ES-TRAD\">Fundada en 1997, Kaspersky Lab es una empresa global de ciberseguridad. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras cr\u00edticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compa\u00f1\u00eda incluye protecci\u00f3n l\u00edder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evoluci\u00f3n. M\u00e1s de<\/span><\/strong><i> <\/i><span lang=\"ES-TRAD\">400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky Lab y <i>a<strong>yudamos a 270,000 clientes corporativos a proteger lo que m\u00e1s valoran. M\u00e1s informaci\u00f3n en <\/strong><\/i><\/span><a class=\"daria-goto-anchor\" href=\"https:\/\/latam.kaspersky.com\/\" target=\"_blank\" rel=\"noopener noreferrer\"><i><span lang=\"ES-TRAD\">http:\/\/latam.kaspersky.com<\/span><\/i><\/a><strong><span lang=\"ES-TRAD\">.<\/span><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>ProjectSauron se interesa especialmente en ganar acceso a las comunicaciones cifradas, a las que ataca utilizando una plataforma avanzada de ciberespionaje modular que incorpora un conjunto exclusivo de herramientas y<\/p>\n","protected":false},"author":2706,"featured_media":7469,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[],"class_list":{"0":"post-7468","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/projectsauron-plataforma-de-espionaje-de-alto-nivel-que-roba-las-comunicaciones-cifradas-de-gobiernos\/7468\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7468","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7468"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7468\/revisions"}],"predecessor-version":[{"id":17754,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7468\/revisions\/17754"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7469"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7468"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7468"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7468"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}