No podemos decir claramente que el Proyecto Sauron es el trabajo de Five Eyes (o cualquier agencia de EE. UU.), Pero hay algunos elementos que pueden conducir a una teoría detrás del estado .
Kaspersky Lab en su blog Secure List (ProjectSauron: la plataforma de ciberespionaje de nivel superior extrae encubiertamente comunicaciones gubernamentales cifradas) dice:
- ¿Cuál es la diferencia entre firewall y WAF?
- ¿Cuáles son algunas formas en que mi cuenta de Facebook podría ser hackeada? ¿Qué puedo hacer para evitar que eso suceda?
- ¿Cuál es el mejor instituto en Ahmadabad / India para piratería ética?
- ¿Está una computadora tan protegida cuando está dormida como cuando está apagada?
- ¿Cuáles son algunos de los mayores delitos cibernéticos del mundo?
Usando nuestra telemetría, encontramos más de 30 organizaciones infectadas en Rusia, Irán, Ruanda y posiblemente también en países de habla italiana. Es probable que muchas más organizaciones y geografías se vean afectadas.
Las organizaciones atacadas son entidades clave que proporcionan funciones de estado centrales:
- Gobierno
- Centros de investigacion cientifica
- Militar
- Proveedores de telecomunicaciones
- Financiar
Por lo tanto, hay objetivos bien definidos y esto podría evidenciar un papel importante del gobierno detrás del Proyecto Sauron.
Además, en el documento dedicado de Kaspersky (https://securelist.com/files/201…) hay una declaración interesante:
El actor de amenazas detrás de ProjectSauron tiene una plataforma modular de ciberespionaje modular de primer nivel en términos de sofisticación técnica, diseñada para permitir campañas a largo plazo a través de mecanismos de supervivencia sigilosos junto con múltiples métodos de exfiltración. Los detalles técnicos muestran cómo los atacantes aprendieron de otros actores extremadamente avanzados para evitar repetir sus errores. Como tal, todos los artefactos se personalizan por objetivo determinado, lo que reduce su valor como indicadores de compromiso para cualquier otra víctima.
Por lo general, las campañas APT tienen un nexo geográfico, destinado a extraer información dentro de una región específica o de una industria determinada. Eso generalmente resulta en varias infecciones en países dentro de esa región, o en la industria objetivo en todo el mundo. Curiosamente, ProjectSauron parece estar dedicado a solo unos pocos países, enfocado en recopilar inteligencia de alto valor al comprometer a casi todas las entidades clave que podría alcanzar dentro del área objetivo.
Analizando estos aspectos, podríamos decir que el atacante tiene un conocimiento técnico de alto nivel, seguido de propósitos específicos. Entonces, la posibilidad de que haya un gobierno (o más gobiernos) detrás del proyecto de malware es real .
¿Quién podría ser el atacante?
- NSA o agencias de los Estados Unidos;
- Cinco ojos;
- Rusia (incluso contra sí misma);
- China.
Al igual que con cada guerra cibernética o cosas similares, solo tenemos que esperar y ver si hay más datos disponibles para el público.
