Rilevamento del Malware Snake: Impianto di Cyber-Spionaggio Utilizzato dal Turla APT Affiliato alla Russia in una Lunga Campagna Contro i Paesi della NATO

Il 9 maggio 2023, il Dipartimento di Giustizia degli Stati Uniti ha rivelato i dettagli di un’operazione congiunta denominata MEDUSA che ha portato alla distruzione dell’infrastruttura del sistema di cyber-spionaggio Snake, attivamente utilizzato per colpire più di 50 paesi in Nord America, Europa e Africa.

Comparso per la prima volta nel 2003, lo strumento dannoso è stato utilizzato dal gruppo Turla, legato al Servizio di Sicurezza Federale della Federazione Russa (FSB), per procedere con attacchi contro vari obiettivi di interesse, inclusi i governi membri della NATO. Dopo la distruzione della campagna Snake, la National Security Agency (NSA) e diverse agenzie partner hanno esortatole organizzazioni a prendere azioni pertinenti volte a rilevare e mitigare attività dannose legate a Snake.

Rilevare il Malware Snake Usato da Attori di Minaccia Collegati alla Russia

Con il famigerato impianto Snake che è lo strumento di cyber-spionaggio più avanzato utilizzato dall’FSB russo e trattato nell’ultimo rapporto congiunto CSA AA23-129A, la comunità globale dei difensori informatici deve aumentare la consapevolezza e migliorare la resilienza informatica per aiutare le organizzazioni a identificare tempestivamente l’attività avversaria correlata. La piattaforma Detection as Code di SOC Prime consente alle organizzazioni di condurre una difesa informatica collettiva per garantire un futuro cibernetico più sicuro arricchendo continuamente il suo Threat Detection Marketplace con regole Sigma curate per le minacce emergenti. Per aiutare i difensori cibernetici a difendersi in modo proattivo dal malware Snake legato alla Russia, il Team di SOC Prime ha recentemente rilasciato una vasta raccolta di regole Sigma arricchite di contesto rilevante.

Tutte le regole Sigma all’interno di questo stack di rilevamento sono filtrate dai tag personalizzati “AA23-129A” e “Snake_Malware” in base al codice CSA corrispondente e al nome del payload per consentire una ricerca semplificata degli algoritmi di rilevamento.

Cliccando sul pulsante Esplora Rilevamenti sotto, i team di sicurezza possono ottenere un accesso immediato all’intera raccolta di regole Sigma per il rilevamento del malware Snake. Gli algoritmi di rilevamento sono allineati con MITRE ATT&CK v12, coprono più fonti di log e sono applicabili alle principali soluzioni SIEM, EDR e XDR. Gli ingegneri della sicurezza possono anche immergersi nei metadati pertinenti, comprese le riferimenti ATT&CK e CTI, per un’indagine sulle minacce semplificata.

Esplora Rilevamenti

Analisi del Malware Snake

Considerato il campione di malware di cyber-spionaggio più noto e di lunga durata dell’FSB, Snake è attivo da almeno 20 anni, prendendo di mira segretamente le organizzazioni di interesse per la Federazione Russa. L’elenco delle vittime include organizzazioni del settore pubblico della NATO, giornalisti, rappresentanti dei media, istituzioni educative e piccole imprese. Anche infrastrutture critiche, finanza, manifattura, telecomunicazioni sono stati colpiti.

Secondo i ricercatori di sicurezza, il malware Snake è apparso per la prima volta nell’arena dannosa nel 2003-2004 con il moniker di Uroburos. Essendo collegato al collettivo di hacker Turla all’interno del Centro 16 dell’FSB, l’impianto è stato continuamente utilizzato dagli avversari per rubare informazioni sensibili e documenti e distribuire ulteriori software dannosi tramite una rete peer-to-peer nascosta. Viene tipicamente distribuito con l’aiuto di nodi di infrastruttura pubblica sulla rete mirata. Inoltre, Snake utilizza altri strumenti e TTP sulla rete interna per procedere con l’attività dannosa.

Attraverso l’Operazione MEDUSA, l’FBI è riuscito a interrompere tutti i sistemi interessati all’interno degli Stati Uniti, mentre al di fuori del paese, l’agenzia ha coordinato con le autorità locali per fornire le linee guida di rilevamento e rimedio e rimuovere l’impianto Snake. Come dettagliato nella nota del Dipartimento di Giustizia, gli esperti dell’FBI hanno sviluppato uno strumento dedicato chiamato PERSEUS in grado di forzare il malware Snake a disabilitarsi autonomamente e terminare senza causare alcun effetto dannoso al computer ospite o alle applicazioni associate.

Le agenzie statunitensi e gli alleati hanno emesso un avviso congiunto aiutando le organizzazioni colpite a individuare l’infrastruttura del malware Snake russo e a prendere misure di mitigazione.

Con i crescenti volumi di attacchi informatici lanciati dalle forze offensive affiliate alla Russia, i difensori cibernetici hanno bisogno di un’estrema reattività per difendersi proattivamente dall’attività dannosa degli aggressori. SOC Prime offre un’ampia raccolta di regole Sigma contro gli APT sponsorizzati dallo stato russo, insieme a 50 algoritmi di rilevamento curati e adattati alle esigenze di sicurezza dell’organizzazione. Ottieni l’abbonamento Sigma2SaveLives con il 100% dei ricavi donato per fornire aiuti mirati al popolo ucraino migliorando sensibilmente la tua postura di sicurezza informatica.