Las autoridades estadounidenses, junto con otras organizaciones internacionales, anunciaron este martes que habían desmantelado con éxito un malware utilizado durante dos décadas (20 años) por un notorio actor de amenaza, respaldado por el Kremlin.
El Departamento de Justicia dijo que obtuvo la autorización judicial el lunes que permitió a las fuerzas del orden estadounidenses eliminar el código malicioso, denominado «Snake», que fue utilizado por Turla, un grupo afiliado durante mucho tiempo al Servicio Federal de Seguridad de Rusia (FSB). Los investigadores rastrearon las actividades del grupo hasta una instalación del FSB en Ryazan, Rusia.
“Evaluamos que esta es su principal herramienta de espionaje”, dijo un alto funcionario del FBI a los periodistas durante una conferencia telefónica el martes, y señaló que se había desplegado contra países de la OTAN y otros con el objetivo de robar información confidencial de Estados Unidos.
“Durante 20 años, el FSB se ha basado en el malware Snake para realizar ciberespionaje contra los Estados Unidos y nuestros aliados, eso termina hoy”, dijo el fiscal general adjunto Matthew Olsen, jefe de la División de Seguridad Nacional del Departamento de Justicia, en un comunicado.
El operativo, llamado «Operación Medusa«, aparentemente le robó al grupo ruso una herramienta en la que se ha basado «para comprometer cientos de computadoras en al menos 50 países en todo el mundo«, según una declaración jurada publicada con el anuncio.
“Creemos que nuestra capacidad para eliminarlo y luego proporcionar públicamente a los defensores de la red la capacidad de defender sus redes contra él hace que sea insostenible que el FSB se reconstituya después de esta operación”, dijo el funcionario del FBI.
El FBI pudo identificar 19 direcciones de protocolo de Internet (IP) asociadas con computadoras en los EE. UU. que estaban infectadas, aunque el funcionario se negó a decir exactamente cuántas computadoras en los EE. UU. estaban comprometidas. Snake estaba «activo y activo» a partir del lunes, dijo el funcionario.
Una vez que las fuerzas del orden recibieron la luz verde, el FBI implementó una herramienta propia especialmente diseñada, llamada «Perseus«, que permitió a la agencia enviar comandos al malware, que ha sufrido múltiples iteraciones desde su introducción en 2004. El movimiento hizo que Snake anulara sus componentes principales y luego se autodestruyera. En la mitología griega, Perseo mató a la Medusa de cabello de serpiente.
El DOJ se basó en una orden de incautación especial, conocida como procedimiento de la Regla 41, para eliminar el malware ruso de las computadoras de las víctimas estadounidenses, algo que ha hecho dos veces en el pasado: interrumpir la campaña de espionaje Hafnium vinculada a China y destruir Cyclops Blink, un botnet controlado por la inteligencia rusa.
Estados Unidos y sus aliados emitieron un extenso aviso de seguridad cibernética que detallaba cómo funciona Snake y cómo mitigarlo.
“Estos detalles técnicos ayudarán a los gobiernos de la industria a encontrar y cerrar el malware a nivel mundial”, tuiteó Rob Joyce, director de ciberseguridad de la Agencia de Seguridad Nacional.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
