ProjectSauron: O platforma de spionaj cibernetic de top sustrage, in secret, mesaje guvernamentale criptate

In septembrie 2015, solutia Kaspersky Lab Anti-Targeted Attack Platform a detectat un element neobisnuit in reteaua unei organizatii-client. Anomalia i-a condus pe cercetatori la “ProjectSauron”, o grupare la nivel statal, care ataca organizatii guvernamentale cu un set unic de instrumente pentru fiecare victima, facand inutili indicatorii traditionali privind compromiterea sistemului. Scopul atacurilor pare sa fie, in principal, spionajul cibernetic.

k

ProjectSauron este interesat indeosebi sa obtina acces la comunicatii criptate, pe care le “vaneaza” folosind o platforma modulara avansata de spionaj cibernetic, cu un set de instrumente si tehnici unice. O caracteristica remarcabila este evitarea deliberata a tiparelor: ProjectSauron isi personalizeaza instrumentele de atac si infrastructura pentru fiecare victima si nu le mai foloseste niciodata. Aceasta abordare, impreuna cu numeroase cai de sustragere a datelor furate, cum ar fi canalele legitime de email si DNS (Domain Name System), permit gruparii ProjectSauron sa deruleze in secret campanii de spionaj pe termen lung, in retelele vizate.

ProjectSauron pare sa fie un grup experimentat si traditional de atacatori care face eforturi considerabile sa invete de la alti “actori” foarte avansati din peisajul amenintarilor cibernetice, inclusiv de la Duqu, Flame, Equation si Regin. Ei adopta unele dintre cele mai inovatoare tehnici ale acestora si le imbunatatesc pentru a ramane nedescoperiti.

Principalele caracteristici:

Cele mai interesante instrumente si tehnici ProjectSauron includ:

  • Amprenta unica: instrumentele esentiale de atac au nume si dimensiuni diferite de fisiere, construite pentru fiecare tinta in parte – ceea ce face detectia foarte dificila, din moment ce aceleasi indicii elementare asupra compromiterii sistemului ar fi neinteresante pentru orice alta victima.
  • Functionarea in memorie: Instrumentele esentiale de atac folosesc script-uri legitime de actualizari de software si functioneaza ca backdoor-uri, descarcand noi module sau lansand comenzi din partea atacatorului direct in memorie.
  • O preferinta pentru comunicatii criptate: ProjectSauron cauta informatii referitoare la un software de criptare destul de rar si personalizat. Acest software este foarte raspandit in randul organizatiilor vizate, pentru a-si securiza comunicatiile, apelurile, email-urile si schimbul de documente. Atacatorii sunt foarte interesati de componente ale software-ului de criptare, chei, fisiere de configurare si localizarea serverelor care transmit mesajele criptate, intre doua puncte.
  • Flexibilitate bazata pe script: ProjectSauron a implementat un set de instrumente de baza care sunt orchestrate de script-uri in limbajul LUA. Folosirea componentelor LUA in crearea de programe malware este foarte rara: a mai fost detectata anterior doar in atacurile Flame si Animal Farm.
  • Trecerea de masurile de securitate care izoleaza – fizic – o retea sigura de una nesigura: ProjectSauron foloseste drive-uri USB pregatite special pentru a trece de retelele izolate. Aceste drive-uri USB au compartimente ascunse unde sunt pastrate datele furate.
  • Multiple mecanisme de sustragere: ProjectSauron implementeaza mai multe cai de sustragere a datelor, inclusiv prin canale legitime cum sunt email-ul si DNS (Domain Name System), cu informatiile furate de la victima deghizate in trafic de zi cu zi.

Profilul victimelor si localizarea geografica

Pana in prezent au fost identificate peste 30 de organizatii victima, majoritatea acestora fiind localizate in Rusia, Iran si Rwanda, existand si posibilitatea unor victime in tari vorbitoare de limba italiana. Expertii Kaspersky Lab sunt de parere ca mult mai multe organizatii si spatii geografice vor fi afectate in viitor.

Pe baza analizei noastre, organizatiile vizate joaca, de regula, un rol esential in asigurarea unor servicii in stat, care includ:

  • Zona guvernamentala
  • Domeniul militar
  • Centre de cercetare stiintifice
  • Operatori telecom
  • Organizatii financiare

Analiza indica faptul ca ProjectSauron este activ din iunie 2011 si ramane activ in 2016. Vectorul initial folosit pentru a infecta reteaua victimei ramane necunoscut.

“In prezent, unele atacuri cu tinta predefinita se bazeaza pe instrumente ieftine si usor de gasit. ProjectSauron, in schimb, este unul dintre cei care se bazeaza pe instrumente fabricate de ei, in care au incredere, si pe un cod personalizabil. Utilizarea unor indicatori unici, cum ar fi serverul de control, chei de criptare si altele, precum si adoptarea unor tehnici avansate de la alte grupari reprezinta ceva nou. Singura modalitate de a rezista in fata unor amenintari de acest gen este sa ai multe niveluri de securitate active, bazate pe un lant de senzori care monitorizeaza chiar si cea mai mica anomalie prezenta in fluxul de lucru, totul dublat de informatii despre amenintarile cibernetice si analize care sa urmareasca tiparele de comportament, chiar si atunci cand pare sa nu existe niciunul”, a spus Vitaly Kamluk, Principal Security Researcher la Kaspersky Lab.

Costul, complexitatea, persistenta si scopul final al operatiunii – furtul de informatii confidentiale si strict secrete, de la organizatii care au legaturi cu un anumit stat – sugereaza implicarea sau sprijinul la nivel statal.

Expertii in securitate de la Kaspersky Lab le recomanda organizatiilor sa initieze un audit al retelelor IT si al sistemelor endpoint si sa implementeze urmatoarele masuri:

  • Introducerea unei solutii anti-atacuri cu tinta predefinita alaturi de protectia endpoint, noua sau deja existenta. Doar protectia endpoint nu este suficienta pentru a face fata noii generatii de atacatori.
  • Chemati expertii daca va este semnalata o anomalie. Cele mai avansate solutii de securitate vor fi capabile sa detecteze un atac chiar in momentul in care se intampla si, uneori, profesionistii in domeniul securitatii sunt singurii care pot bloca sau diminua efectele lor si analiza atacurile majore.
  • Dublati masurile de mai sus cu achizitionarea de servicii de informatii despre amenintari: astfel, echipele responsabile cu securitatea vor fi la curent cu ultimele evolutii din domeniul amenintarilor cibernetice, metodele de atac si indiciile la care sa fie atente.
  • Din moment ce multe atacuri majore incep cu un mesaj de phishing sau cu un alt mod de abordare a angajatilor, asigurati-va cu personalul intelege si practica un comportament responsabil in spatiul cibernetic.

Raportul complet despre ProjectSauron a fost disponibil clientilor serviciului Kaspersky Lab APT Intelligence reporting in avans. Aflati mai multe aici: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Indicii de atac si regulile YARA sunt, de asemenea, disponibili.

Toate produsele Kaspersky Lab detecteaza mostrele ProjectSauron ca HEUR:Trojan.Multi.Remsec.gen.

Pentru mai multe informatii despre ProjectSauron, cititi articolul de pe Securelist.com

Aflati mai multe despre modurile in care produsele Kaspersky Lab pot proteja utilizatorii de aceasta amenintare.

Despre Kaspersky Lab

Kaspersky Lab este o companie globala de securitate cibernetica, fondata in 1997. Cunostintele in domeniul amenintarilor cibernetice si expertiza in securitate IT detinute de Kaspersky Lab se materializeaza in mod constant in solutii de securitate si servicii pentru a proteja companii, infrastructura critica, autoritati guvernamentale si utilizatori individuali din toata lumea, Portofoliul complex de securitate include protectie endpoint de top si un numar de solutii specializate de securitate si de servicii, pentru a combate amenintarile digitale tot mai sofisticate. Peste 400 de milioane de utilizatori individuali sunt protejati de tehnologiile Kaspersky Lab, precum si 270.000 de companii client, pe care le ajutam sa protejeze ce e mai important pentru ele. Pentru mai multe informatii, vizitati www.kaspersky.ro.

Kaspersky Lab – 9 august 2016

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s