Home > Blog > Qué es el Proyecto SauronBlog
La plataforma web Cioal informa acerca del descubrimiento de un virus que ha sido bautizado como Proyecto Sauron. Este malware ha sido localizado por los laboratorios Kaspersky conjuntamente con la firma de seguridad Symantec, según ABC. Debido a la complejidad de éste, se cree que Sauron es un proyecto de Estado, afirma la página virtual Eju. Se trata de un agente que ataca a las organizaciones estatales muy sofisticado en su diseño y ejecución. Se dice que lleva oculto en los ordenadores infectados, al menos unos 30 objetivos, alrededor de cinco años. Debido a que utiliza un conjunto de herramientas único para cada víctima, deja una huella diferente cada vez. Esto hace imposible establecer patrones de comportamiento del virus, lo que lo hace prácticamente indetectable. Entre las víctimas se hallan agencias gubernamentales, centros de investigación, organizaciones militares e instituciones financieras. El objetivo de todos los ataques es claramente el ciberespionaje.
Ejecución del malware
El Proyecto Sauron está especialmente interesado en ganar acceso a las comunicaciones cifradas. A éstas las ataca utilizando una plataforma avanzada de ciberespionaje modular. Ésta incorpora un conjunto de herramientas y técnicas específicas. Las tácticas usadas por Sauron evitan repetirse deliberadamente gracias a un grupo de implantes únicos para cada objetivo. Nunca son reutilizados. Éste método, junto con varias rutas de extracción de datos robados, permite al virus realizar campañas secretas durante periodos prolongados. Da la sensación de que este malware ha aprendido de sus antecesores, superándolos a todos ellos. En resumen, adopta las técnicas más innovadoras de todos ellos y las mejora para no ser descubierto. Entre sus “influencias” destacan Duqu, Flame, Equation y Regin. Dado que los patrones de comportamiento del virus varían con cada víctima, resulta complicado definir cómo se ejecuta. “El grupo usa un virus avanzado, conocido como Remsec, para realizar sus ataques”, afirmó Symantec recientemente.
Características del virus
Aunque varían según el objetivo, existen algunas de las herramientas y técnicas que han podido sustraerse como comunes. La primera y más notable es que deja un huella particular cada vez que actúa. Los implantes principales tendrán diferentes nombres y tamaños de archivo, haciéndolos muy difíciles de detectar. Éstos hacen uso de secuencias de mandos en softwares legítimos actualizados. Trabajan como programas furtivos únicamente en la memoria del equipo. El Proyecto Sauron además tiene una tendencia a las criptocomunicaciones. Busca activamente información relacionada con el software de cifrado, algo bastante raro. Claves, archivos de configuración y ubicación de los servidores que transmiten los mensajes son los principales objetivos del virus. Además, este malware utiliza componentes LUA de alto nivel para conseguir flexibilidad. También hace uso de los compartimentos secretos de las unidades USB para esconder los datos robados. Así consigue burlar las redes air gaps, utilizando diferentes mecanismos de extracción.
Víctimas del Proyecto Sauron
Hasta el anuncio de Kaspersky, se han identificado más de 30 víctimas de diferentes organizaciones. Los más habituales infectados con Rusia, Irán y Ruanda. Afecta especialmente a gobiernos, instituciones militares, centros de investigación científica y organizaciones financieras. También infecta operadores de telecomunicaciones. Viendo los objetivos es claramente notorio que el objetivo último que se persigue con Sauron es el ciberespionaje. El vector inicial de infección usado por el Proyecto Sauron sigue siendo desconocido. Como tampoco se sabe el Estado que ha orquestado la creación de un malware tan sofisticado. Debido a la complejidad del desarrollo, resulta increíble pensar que un solo pirata informático lo haya creado. Detrás del nacimiento del proyecto se encuentran varios equipos de especialistas, subvencionados por un estado. Los expertos en seguridad sugieren a las organizaciones realizar una auditoría a fondo de sus redes. El informe sobre Sauron está a disposición de los clientes de Kaspersky Lab.