Project Sauron, un sofisticado malware, ha tardado cuatro años en ser descubierto

Los malware son cada vez más sofisticados en su forma de trabajar. Uno de los casos que se ha conocido recientemente es el de Proyecto Sauron, tal y como lo llama Kaspersky, cuya sofisticación ha hecho que se tardase cuatro años en descubrir.

La compañía de seguridad se encontró con él en septiembre de 2015 al ser contratada para investigar el tráfico inusual que exisitía en la red de una agencia del gobierno estadounidense, descubriendo que su origen era un malware que residía en la memoria de sus servidores de control de dominio. El programa malicioso se hacía pasar por un filtro de contraseñas, el cual se activaba cada vez que un usuario accedía al sistema o cambiaba su contraseña.

Este malware ha sido encontrado en unas 30 organizaciones, siendo adaptado específicamente para su víctima. Esto se consigue debido a que está compuesto de 50 módulos que se pueden mezclar y combinar. En la investigación de su funcionamiento, se ha encontrado que las pistas que deja en una infección no sirven para detectar otras, pues no se reutilizan servidores, direcciones IP o dominios.

Proyecto Sauron, una vez infectado el equipo, reside en su memoria, empleando objetos binarios grandes, lo que hace que sea difícil de detectar con un antivirus. Algunos sistemas han sido infectados mediante un USB con el código malicioso, el cual contiene un sistema de ficheros invisible para Windows y en el que se guarda la información que se quiere del sistema. Se sospecha que esto sólo se hace si los piratas informáticos pueden emplear un ataque de día cero (que es desconocido). El dispositivo se reconocía como uno legítimo, incluso en aquellos casos en los que el sistema bloquea el uso de unidades de memoria externa desconocidas.

Teniendo en cuenta su sofisticación, se sospecha que se han debido invertir millones de dólares en su desarrollo por parte de un nutrido grupo de especialistas. Es posible que la financiación haya corrido a cargo del gobierno de algún país. Víctimas de este malware han sido proveedores de telecomunicaciones, instituciones militares, centros de investigación e instituciones financieras de Rusia, Irán, Ruanda, China, Suecia y Bélgica.

Vía: Ars Technika.