s0022-uroburos - RunkIntel

# Uroburos > [!critical] Rootkit APT de Estado com 20+ Anos de Operação Ativa > Uroburos (Snake) é o implant de espionagem de longa duração do [[g0010-turla|Turla]] - unidade do FSB russo - ativo desde 2003 e ainda operacional em 2023. Sua arquitetura P2P entre vítimas, sistema de arquivos oculto em FAT16 e roteamento multi-hop tornam o malware práticamente invisível em redes corporativas. Em 2023, o FBI neutralizou a rede norte-americana via Operação MEDUSA - confirmando que organizações comprometidas há anos não tinham conhecimento da infecção. ## Visão Geral Uroburos (MITRE S0022, alias Snake) é o implant de espionagem mais sofisticado e duradouro atribuído ao [[g0010-turla|Turla]], grupo APT ligado ao FSB (Serviço Federal de Segurança) russo, específicamente ao Centro 16. O desenvolvimento do Snake começou por volta de 2003 - potencialmente como evolução do Agent.BTZ, o worm que comprometeu redes militares dos EUA via USB em 2008 - e o malware passou por atualizações quase contínuas ao longo de duas décadas para permanecer operacional após cada divulgação pública. O MITRE ATT&CK S0022 documenta o Uroburos como uma ferramenta de espionagem de nação-estado com capacidades que excedem qualquer outro implant do [[g0010-turla|Turla]]. A característica técnica mais distintiva do Uroburos é sua rede peer-to-peer entre vítimas: em vez de cada nó comprometido comúnicar-se diretamente com servidores C2, os implants formam uma rede interna onde máquinas sem acesso direto à internet roteiam tráfego através de máquinas comprometidas com conectividade. Isso permite comprometer hosts em redes air-gapped ou altamente segmentadas via propagação lateral. O C2 central só recebe dados de um número limitado de nós externos, tornando o tráfego de rede suspeito mínimo e a atribuição muito mais difícil. O Uroburos implementa um sistema de arquivos oculto formatado em FAT16 armazenado em um container criptografado no disco do host comprometido. Neste volume virtual o malware armazena ferramentas adicionais, configuração, logs de atividade e dados exfiltrados antes do envio - sem deixar artefatos detectáveis no sistema de arquivos principal. A criptografia usa combinação de AES-256 e curva elíptica para comúnicações, tornando a inspeção de tráfego ineficaz sem as chaves. Em maio de 2023, a CISA (AA23-129A) e parceiros internacionais (NCSC UK, CISA EUA, FBI, NSA, CCCS Canadá, AUSCERT Austrália, NCSC Nova Zelândia) divulgaram análise técnica detalhada do Uroburos e suas operações em mais de 50 países. O FBI executou a Operação MEDUSA, utilizando a ferramenta judicial "Perseus" para comandar remotamente os implants Snake nas redes norte-americanas comprometidas e auto-deletar o malware - notificando as organizações que não sabiam estar infectadas. A operação revelou que o [[g0010-turla|Turla]] havia comprometido alvos de alto valor por anos sem detecção. | Campo | Detalhe | |-------|---------| | **Tipo** | Rootkit / implant de espionagem APT | | **Linguagem** | C (kernel-mode e user-mode) | | **Primeira versão** | ~2003 (compila timestamps indicam) | | **Status** | Ativo - neutralizado nos EUA em 2023, outras regiões potencialmente ativas | | **MITRE ID** | S0022 | | **Plataformas** | Windows, Linux, macOS | | **Alvo principal** | Governos, defesa, infraestrutura crítica | ## Como Funciona **Acesso inicial via spear-phishing ou supply chain:** O [[g0010-turla|Turla]] tipicamente obtém acesso inicial via spear-phishing altamente direcionado com documentos exploiting vulnerabilidades, watering hole attacks em sites frequentados por diplomatas e funcionários governamentais, ou comprometendo fornecedores de software usado por alvos de alto valor. **Instalação do rootkit em kernel-mode:** O Uroburos instala um driver de kernel que opera em ring 0 (máximo privilégio), tornando-o invisível para a maioria dos produtos de segurança que operam em user-mode. O driver intercepta operações de I/O de disco e rede para ocultar artefatos do malware dos processos de segurança. **Criação do sistema de arquivos oculto:** Um volume virtual FAT16 criptografado (AES-256) é criado em espaço não alocado do disco ou como arquivo container. Ferramentas adicionais, configuração e dados exfiltrados são armazenados neste volume sem deixar rastros no sistema de arquivos principal. **Formação da rede P2P entre vítimas:** Após comprometer múltiplos hosts em uma organização ou rede relacionada, o Uroburos estabelece canais de comunicação entre os implants. Máquinas sem acesso à internet roteiam dados através de máquinas comprometidas com conectividade - permitindo exfiltração de dados de sistemas air-gapped. **Comúnicação C2 via protocolos não-padrão:** O tráfego C2 usa protocolos de camada não-aplicação, junk data para ofuscação e canais de comunicação encobertos em tráfego legítimo (HTTP, email SMTP/IMAP). Múltiplos algoritmos de criptografia (AES, RC4, curva elíptica) protegem diferentes camadas do protocolo. **Exfiltração lenta e de baixo volume:** O [[g0010-turla|Turla]] é conhecido por operações de espionagem de longo prazo onde a exfiltração ocorre em volumes pequenos e irregulares - evitando alertas de anomalia de volume de dados. Documentos de alto valor são priorizados, coletados ao longo de semanas antes do envio. ## Attack Flow ```mermaid graph TB A["Spear-phishing APT Documento exploiting 0-day Alvo: diplomacia defesa governo"] --> B["Rootkit kernel-mode Driver ring-0 invisível T1027.002 T1620"] B --> C["Sistema de arquivos oculto Volume FAT16 criptografado AES T1564.005 Hidden File System"] C --> D["Rede P2P entre vítimas Propagação lateral interna T1090.003 Multi-hop Proxy"] D --> E["Persistência multi-mecanismo Registro + driver kernel T1112 T1106"] E --> F["Coleta de dados Documentos sensíveis T1005 Data from Local System"] F --> G["Exfiltração encoberta Baixo volume via C2 criptografado T1095 T1573"] classDef delivery fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef persist fill:#3498db,color:#fff classDef lateral fill:#8e44ad,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B,C install class D lateral class E persist class F collect class G exfil ``` ## Timeline ```mermaid timeline title Uroburos Snake - Duas Décadas de Espionagem 2003 : Desenvolvimento inicial estimado : Predecessor do Agent.BTZ (estimativa) 2008 : Agent.BTZ compromete USCENTCOM : USB worm em redes militares EUA 2010 : Turla documentado atacando governos : Europa Oriental e Sul da Ásia 2014 : G Data publica análise técnica do Snake : Rootkit FAT16 e P2P documentados 2017 : Symantec documenta variantes Linux : Implant multiplataforma confirmado 2019 : Variante macOS identificada : Primeiro implant macOS do Turla 2022 : Uso em alvos de alto valor UE : Organizações governamentais europeias 2023 : CISA AA23-129A publicado : 50+ países comprometidos documentados 2023 : Operação MEDUSA do FBI : Perseus neutraliza Snake nos EUA ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Evasão | [[t1564-005-hidden-file-system\|T1564.005]] | Sistema de arquivos FAT16 oculto para armazenar ferramentas e dados | | Evasão | [[t1027-002-software-packing\|T1027.002]] | Empacotamento de componentes para dificultar análise estática | | Evasão | [[t1027-011-fileless-storage\|T1027.011]] | Armazenamento de payloads em registro e memória sem arquivos em disco | | Evasão | [[t1620-reflective-code-loading\|T1620]] | Carregamento reflexivo de módulos adicionais em memória | | Persistência | [[t1112-modify-registry\|T1112]] | Modificação de registro para persistência e configuração | | C2 | [[t1090-003-multi-hop-proxy\|T1090.003]] | Rede P2P entre vítimas para roteamento de tráfego | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | Protocolo C2 de camada não-aplicação para evasão | | C2 | [[t1001-001-junk-data\|T1001.001]] | Adição de dados irrelevantes para ofuscar comúnicações C2 | | C2 | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia assimétrica (curva elíptica) para canal C2 | | C2 | [[t1573-001-symmetric-cryptography\|T1573.001]] | AES para criptografia de dados em trânsito | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP como canal de comunicação encoberto | | C2 | [[t1071-003-mail-protocols\|T1071.003]] | SMTP/IMAP para exfiltração via protocolos de email | | Coleta | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos sensíveis do sistema comprometido | | Execução | [[t1106-native-api\|T1106]] | Uso de Windows Native API para operações furtivas | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell de comando para execução de tarefas específicas | ## Grupos que Usam - [[g0010-turla|Turla]] (Venomous Bear, Waterbug, KRYPTON) - grupo FSB russo, espionagem diplomática e governamental global ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] (FSB Centro 16) tem histórico de comprometimento de embaixadas, representações diplomáticas e organizações governamentais em todos os continentes. O Brasil, como décima maior economia do mundo com presença diplomática global significativa, é um alvo potencial para operações de espionagem de nação-estado. Representações diplomáticas brasileiras no exterior - especialmente em regiões de interesse geopolítico russo como Europa Oriental, Oriente Médio e Ásia Central - são potenciais alvos de campanhas de watering hole e spear-phishing do [[g0010-turla|Turla]]. A característica mais preocupante para organizações brasileiras é a longevidade do Uroburos: a Operação MEDUSA em 2023 revelou que organizações norte-americanas estavam comprometidas por anos sem conhecimento. Órgãos do governo federal brasileiro, Forças Armadas, Itamaraty e organizações de infraestrutura crítica devem realizar threat hunting proativo para detectar possíveis comprometimentos de longa duração que passaram por ciclos completos de renovação de equipamentos e pessoal sem detecção. O comprometimento de redes diplomáticas é de interesse estratégico para o FSB dado o papel do Brasil em negociações multilaterais (ONU, OMC, G20), relações com países em conflito (Ucrânia, Rússia) e acesso a informações de política externa sensíveis que o Snake é projetado para exfiltrar. ## Detecção **Fontes de dados recomendadas:** - **Análise de memória forense:** O Uroburos é um rootkit - detecção via análise de memória (Volatility, WinPmem) é mais confiável que análise de disco. Procurar drivers de kernel não assinados ou suspeitos. - **Inspeção de espaço não alocado no disco:** O volume FAT16 oculto reside em espaço não alocado - ferramentas de análise forense como Autopsy detectam sistemas de arquivos em locais incomuns. - **Análise de tráfego de rede:** Conexões TCP persistentes de longo prazo para IPs externos não reconhecidos, especialmente com padrões de heartbeat regulares. Protocolo C2 usa obfuscação mas mantém padrão de timing. - **YARA na memória:** CISA públicou regras YARA específicas no aviso AA23-129A para identificar variantes conhecidas do Snake em memória e disco. **Regras de detecção:** - YARA: CISA AA23-129A IoCs e YARA rules - públicadas em `github.com/cisagov/snake-detection` - Sigma: `proc_creation_win_turla_snake_install.yml` - detecção de instalação de driver kernel associado ao Snake (SigmaHQ) - Network: monitorar padrões de heartbeat P2P internos entre hosts corporativos em portas não-padrão ## Referências - [1](https://attack.mitre.org/software/S0022/) MITRE ATT&CK - S0022 Uroburos - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a) CISA AA23-129A - Snake Malware (2023) - [3](https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled) DOJ - Operation MEDUSA (2023) - [4](https://www.gdata.de/press/detail/article/the-uroburos-rootkit-g-data-unveils-sophisticated-espionage-tool.html) G Data - Uroburos Rootkit Analysis (2014) - [5](https://www.welivesecurity.com/2017/03/30/turla-s-watering-hole-campaign-an-updated-firefox-extension-abusing-instagram/) ESET WeLiveSecurity - Turla Snake Variants (2017) - [6](https://www.ncsc.gov.uk/files/NCSC-MAR-Snake-Implant.pdf) NCSC UK - Snake Malware Technical Report (2023)