A agencia de cibersegurança governamental americana (https://www.cisa.gov/) classifica o “SNAKE” como a mais sofisticada ferramenta de ciberespionagem do arsenal do FSB e usada por atores cibernéticos russos.
A ferramenta é usada pelo Centro 16 do Serviço Federal de Segurança da Rússia (FSB) para coleta de inteligência de longo prazo sobre alvos sensíveis.
O CSA (Cybersecurity Advisory) fornece informações detalhadas sobre a atribuição de Snake ao FSB e descrições técnicas detalhadas da arquitetura do host do implante e das comunicações de rede.
Muitos servidores ao redor do mundo operam uma rede peer-to-peer (P2P) infectada com o Snake, porém sua detecção é difícil devido a fragmentação e criptografia das comunicações.
Os alvos são variados, por exemple, os atores usaram o Snake para acessar e exfiltrar documentos confidenciais de relações internacionais de uma vítima em um país da Organização do Tratado do Atlântico Norte (OTAN). Nos Estados Unidos, o FSB vitimizou setores como educação, pequenas empresas e organizações de mídia.
O Snake é interoperável e pode infectar os sistemas operacionais Windows, MacOS e Linux.
Não é um projeto novo, O FSB começou a desenvolver o Snake como “Uroburos” no final de 2003, tanto que em analise do software foi detectado strings exclusivas, incluindo “Ur0bUr()sGoTyOu#“.
O Snake é implantado em nós de infraestrutura externos em uma rede e, a partir daí, usa outras ferramentas e TTPs na rede interna para conduzir operações de exploração adicionais.
Resposta e Mitigação
Para se proteger contra o “Snake” e outras ameaças cibernéticas mais sofisticadas, as organizações e governos devem adotar uma abordagem de cibersegurança mais abrangente, visto a complexidade do modo de ação do Malware, assim como o conhecimento dos grupos adversários.
Entender as técnica, táticas e procedimentos dos adversários, no caso o FSB Center 16. e utilizar as técnicas de hunting são formas avançadas que podem ajudar a mitigar essa ameaça.
MITRE ATT&CK TTPs
Compartilho o mapa que criei com os TTPs do “Snake” no formato json para importação no https://mitre-attack.github.io/attack-navigator/
Hunting
A agencia de cibersegurança americana compartilha a analise do malware em PDF que permite fazer o hunting e analise especifica dessa ameaça.
Hunting Russian Intelligence “Snake” Malware
É possivel também encontrar IOC’s referente ao Snake no OTX https://otx.alienvault.com/pulse/645ba33a3ce6b9ca8d05354f
Seja o primeiro a comentar