Detección de Malware Snake: Implante de Ciberespionaje Utilizado por APT Turla Afiliada a Rusia en una Campaña Duradera Contra Países de la OTAN

El 9 de mayo de 2023, el Departamento de Justicia de los EE.UU. reveló los detalles de una operación conjunta denominada MEDUSA que resultó en la interrupción de la infraestructura del implante de ciber-espionaje Snake, activamente utilizada para atacar a más de 50 países en América del Norte, Europa y África. 

Emergiendo por primera vez en 2003, la herramienta maliciosa ha sido utilizada por el grupo Turla, vinculado al Servicio Federal de Seguridad de la Federación Rusa (FSB), para proceder con ataques contra varios objetivos de interés, incluidos gobiernos miembros de la OTAN. Tras la interrupción de la campaña Snake, la Agencia de Seguridad Nacional (NSA) y varias agencias asociadas instaron a las organizaciones a tomar acciones pertinentes destinadas a detectar y mitigar actividades maliciosas vinculadas a Snake.

Detectar Malware Snake Usado por Actores Amenazantes Afiliados a Rusia

Con el infame implante Snake siendo la herramienta de ciber-espionaje más avanzada utilizada por el FSB ruso y cubierta en el último CSA conjunto AA23-129A, la comunidad global de defensores cibernéticos debe aumentar la conciencia y fortalecer la resiliencia cibernética para ayudar a las organizaciones a identificar a tiempo la actividad adversaria relacionada. La plataforma Detection as Code de SOC Prime permite a las organizaciones impulsar la defensa cibernética colectiva para asegurar un futuro cibernético más seguro al enriquecer continuamente su Market de Detección de Amenazas con reglas Sigma seleccionadas para amenazas emergentes. Para ayudar a los defensores cibernéticos a protegerse proactivamente del malware Snake vinculado a Rusia, el equipo de SOC Prime ha lanzado recientemente una extensa colección de reglas Sigma enriquecidas con contexto relevante.

Todas las reglas Sigma dentro de este conjunto de detección están filtradas por las etiquetas personalizadas “AA23-129A” y “Snake_Malware” basadas en el código CSA correspondiente y en el nombre de la carga útil para permitir una búsqueda simplificada de algoritmos de detección.

Al hacer clic en el botón Explorar Detecciones a continuación, los equipos de seguridad pueden obtener acceso instantáneo a toda la colección de reglas Sigma para la detección de malware Snake. Los algoritmos de detección están alineados con MITRE ATT&CK v12, cubren múltiples fuentes de registros y son aplicables a las soluciones líderes en la industria de SIEM, EDR y XDR. Los ingenieros de seguridad también pueden profundizar en metadatos relevantes, incluidas referencias ATT&CK y CTI, para una investigación de amenazas más fluida.

Explorar Detecciones

Análisis de Malware Snake

Considerado como la muestra de malware de ciber-espionaje más notoria y duradera del FSB, Snake ha estado activo durante al menos 20 años, atacando encubiertamente a organizaciones de interés para la federación rusa. La lista de víctimas incluye organizaciones del sector público de la OTAN, periodistas, representantes de los medios, instituciones educativas y pequeñas empresas. La infraestructura crítica, las finanzas, la fabricación y los sectores de telecomunicaciones también se han visto afectados.

Según los investigadores de seguridad, el malware Snake apareció por primera vez en el ámbito malicioso en 2003-2004 bajo el nombre de Uroburos. Estando vinculado al colectivo de hackers Turla dentro del Centro 16 del FSB, el implante ha sido utilizado continuamente por adversarios para robar información y documentos sensibles y desplegar software malicioso adicional a través de una red encubierta peer-to-peer. Generalmente se despliega con la ayuda de nodos de infraestructura pública en la red objetivo. Además, Snake utiliza otras herramientas y TTPs en la red interna para continuar con la actividad maliciosa.

A través de la Operación MEDUSA, el FBI logró interrumpir todos los sistemas afectados dentro de los EE.UU., mientras que fuera del país, la agencia coordinó con las autoridades locales para proporcionar orientación de detección y remediación y eliminar el implante Snake. Como se detalla en la nota del Departamento de Justicia, los expertos del FBI desarrollaron una herramienta dedicada llamada PERSEUS que es capaz de forzar al malware Snake a deshabilitarse a sí mismo y terminar sin causar ningún efecto perjudicial al ordenador anfitrión o a las aplicaciones afiliadas. in the Department of Justice note, FBI experts developed a dedicated tool called PERSEUS that is able to force Snake malware to disable itself and terminate without causing any harmful effect to the host computer or affiliated applications.

Las agencias de los EE.UU. y sus aliados han emitido una asesoría conjunta ayudando a las organizaciones afectadas a identificar la infraestructura de malware Snake rusa y tomar medidas de mitigación. 

Con los crecientes volúmenes de ciberataques lanzados por fuerzas ofensivas afiliadas a Rusia, los defensores cibernéticos necesitan una ultra-responsividad para defender proactivamente contra la actividad maliciosa de los agresores. SOC Prime ofrece una amplia colección de reglas Sigma contra APTs patrocinadas por el estado ruso, junto con 50 algoritmos de detección seleccionados y adaptados a las necesidades de seguridad de la organización. Obtenga la suscripción Sigma2SaveLives basada en caridad con el 100% de los ingresos donados para proporcionar ayuda enfocada al pueblo ucraniano mientras se mejora significativamente su postura de ciberseguridad.  with 100% of the revenue donated to provide focused aid for the Ukrainian people while significantly boosting your cybersecurity posture.