imágenes falsas
Los funcionarios del FBI lanzaron una gran bomba el martes: después de pasar años monitoreando un malware excepcionalmente sigiloso que una de las unidades de piratas informáticos más avanzadas del Kremlin había instalado en cientos de computadoras en todo el mundo, los agentes descargaron una carga útil que provocó que el malware se desactivara solo.
El contraataque apuntó a Snake, el nombre de una pieza de malware multiplataforma en expansión que durante más de dos décadas se ha utilizado para espionaje y sabotaje. Snake es desarrol lado y operado por Turla, una de las APT más sofisticadas del mundo, abreviatura de amenazas persistentes avanzadas, un término para equipos de piratería de larga duración patrocinados por estados nacionales.
Bromas internas, burlas y dragones míticos
Si la piratería patrocinada por la nación fuera béisbol, entonces Turla no sería solo un equipo de Grandes Ligas, sería un contendiente perenne de los playoffs. Los investigadores de varias empresas de seguridad coinciden en gran medida en que Turla estaba detrás de las infracciones de la Departamento de Defensa de los Estados Unidos en 2008y más recientemente la Ministerio de Relaciones Exteriores de Alemania y el ejército de Francia. El grupo también ha sido conocido por liberar malware sigiloso de Linux y usar enlaces de Internet basados en satélites para mantener el sigilo de sus operaciones.
Una de las herramientas más poderosas del arsenal de Turla es Snake, una especie de navaja suiza digital que se ejecuta en Windows, macOS y Linux. Escrito en el lenguaje de programación C, Snake se presenta como una serie de piezas altamente modulares que se construyen sobre una red masiva de igual a igual que vincula de manera encubierta una computadora infectada con otra. Snake, dijo el FBI, hasta la fecha se ha propagado a más de 50 países e infectado computadoras pertenecientes a gobiernos miembros de la OTAN, un periodista estadounidense que ha cubierto Rusia y sectores relacionados con infraestructura crítica, comunicaciones y educación.
Una breve lista de capacidades de Snake incluye una puerta trasera que permite a Turla instalar o desinstalar malware en computadoras infectadas, enviar comandos y filtrar datos de interés para el Kremlin. Snake, una pieza de software diseñada profesionalmente, utiliza varias capas de comandos de cifrado personalizados y datos exfiltrados. En la red P2P, los comandos y datos encriptados viajan a través de una cadena de puntos de salto formada por otras máquinas infectadas de una manera que dificulta la detección o el seguimiento de la actividad.
Los orígenes de Snake se remontan al menos a 2003, con la creación de un precursor llamado “Uroburos”, una variación de ouroboros, que es un símbolo antiguo que representa a una serpiente o un dragón que se muerde la cola. Una imagen de baja resolución del filósofo y teólogo alemán Jakob Böhme, que aparece a continuación, en un momento sirvió como clave para una puerta trasera redundante que Turla instalaría en algunos puntos finales pirateados.
El nombre de Uroburos se mantuvo en las primeras versiones del malware, incluso después de que se le cambió el nombre a Snake, por ejemplo, en la cadena “Ur0bUr()sGoTyOu#”. En 2014, la cadena se reemplazó con “gLASs D1cK”. Otras cadenas aluden a bromas internas, intereses personales de los desarrolladores y burlas dirigidas a los investigadores de seguridad que analizan o contrarrestan su código.