SNAKE, a ferramenta de ciberespionagem da Inteligência Russa

A agencia de cibersegurança governamental americana (https://www.cisa.gov/) classifica o “SNAKE” como a mais sofisticada ferramenta de ciberespionagem do arsenal do FSB e usada por atores cibernéticos russos.

A ferramenta é usada pelo Centro 16 do Serviço Federal de Segurança da Rússia (FSB) para coleta de inteligência de longo prazo sobre alvos sensíveis.

O CSA (Cybersecurity Advisory) fornece informações detalhadas sobre a atribuição de Snake ao FSB e descrições técnicas detalhadas da arquitetura do host do implante e das comunicações de rede.

Muitos servidores ao redor do mundo operam uma rede peer-to-peer (P2P) infectada com o Snake, porém sua detecção é difícil devido a fragmentação e criptografia das comunicações.

Os alvos são variados, por exemple, os atores usaram o Snake para acessar e exfiltrar documentos confidenciais de relações internacionais de uma vítima em um país da Organização do Tratado do Atlântico Norte (OTAN). Nos Estados Unidos, o FSB vitimizou setores como educação, pequenas empresas e organizações de mídia.

O Snake é interoperável e pode infectar os sistemas operacionais Windows, MacOS e Linux.

Não é um projeto novo, O FSB começou a desenvolver o Snake como “Uroburos” no final de 2003, tanto que em analise do software foi detectado strings exclusivas, incluindo “Ur0bUr()sGoTyOu#“.

O Snake é implantado em nós de infraestrutura externos em uma rede e, a partir daí, usa outras ferramentas e TTPs na rede interna para conduzir operações de exploração adicionais.

Resposta e Mitigação

Para se proteger contra o “Snake” e outras ameaças cibernéticas mais sofisticadas, as organizações e governos devem adotar uma abordagem de cibersegurança mais abrangente, visto a complexidade do modo de ação do Malware, assim como o conhecimento dos grupos adversários.

Entender as técnica, táticas e procedimentos dos adversários, no caso o FSB Center 16. e utilizar as técnicas de hunting são formas avançadas que podem ajudar a mitigar essa ameaça.

MITRE ATT&CK TTPs

Compartilho o mapa que criei com os TTPs do “Snake” no formato json para importação no https://mitre-attack.github.io/attack-navigator/

MITRE_SNAKE_ TTPS.ZIP

Hunting

A agencia de cibersegurança americana compartilha a analise do malware em PDF que permite fazer o hunting e analise especifica dessa ameaça.

Hunting Russian Intelligence “Snake” Malware

É possivel também encontrar IOC’s referente ao Snake no OTX https://otx.alienvault.com/pulse/645ba33a3ce6b9ca8d05354f

Referências

Anúncio

Sobre Daniel Donda 550 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*