Un malware ultra-sofisticat sustrage în secret mesaje guvernamentale criptate
Cercetătorii Kaspersky şi Symantec au semnalat că există o nouă formă de malware ultra-sofisticat care pare să fie produsul unei agenţii guvernamentale de spionaj.
În septembrie 2015, soluția Kaspersky Lab Anti-Targeted Attack Platform a detectat un element neobișnuit în rețeaua unei organizații-client. Anomalia i-a condus pe cercetători la “ProjectSauron”, o grupare la nivel statal, care atacă organizații guvernamentale cu un set unic de instrumente pentru fiecare victimă, făcând inutili indicatorii tradiționali privind compromiterea sistemului. Scopul atacurilor pare să fie, în principal, spionajul cibernetic, scrie agora.ro.
ProjectSauron este interesat îndeosebi să obțină acces la comunicații criptate, pe care le “vânează” folosind o platformă modulară avansată de spionaj cibernetic, cu un set de instrumente și tehnici unice. O caracteristică remarcabilă este evitarea deliberată a tiparelor: ProjectSauron își personalizează instrumentele de atac și infrastructura pentru fiecare victimă și nu le mai folosește niciodată. Această abordare, împreună cu numeroase căi de sustragere a datelor furate, cum ar fi canalele legitime de email și DNS (Domain Name System), permit grupării ProjectSauron să deruleze în secret campanii de spionaj pe termen lung, în rețelele vizate.
ProjectSauron pare să fie un grup experimentat și tradițional de atacatori care face eforturi considerabile să învețe de la alți “actori” foarte avansați din peisajul amenințărilor cibernetice, inclusiv de la Duqu, Flame, Equation și Regin. Ei adoptă unele dintre cele mai inovatoare tehnici ale acestora și le îmbunătățesc pentru a rămâne nedescoperiți.
Potrivit capital.ro, cele mai interesante instrumente şi tehnici ProjectSauron includ:
• Amprenta unică: instrumentele esenţiale de atac au nume şi dimensiuni diferite de fişiere, construite pentru fiecare ţintă în parte – ceea ce face detecţia foarte dificilă, din moment ce aceleaşi indicii elementare asupra compromiterii sistemului ar fi neinteresante pentru orice altă victimă.
• Funcţionarea în memorie: Instrumentele esenţiale de atac folosesc script-uri legitime de actualizări de software şi funcţionează ca backdoor-uri, descărcând noi module sau lansând comenzi din partea atacatorului direct în memorie.
• O preferinţă pentru comunicaţii criptate: ProjectSauron caută informaţii referitoare la un software de criptare destul de rar şi personalizat. Acest software este foarte răspândit în rândul organizaţiilor vizate, pentru a-şi securiza comunicaţiile, apelurile, email-urile şi schimbul de documente. Atacatorii sunt foarte interesaţi de componente ale software-ului de criptare, chei, fişiere de configurare şi localizarea serverelor care transmit mesajele criptate, între două puncte.
• Flexibilitate bazată pe script: ProjectSauron a implementat un set de instrumente de bază care sunt orchestrate de script-uri în limbajul LUA. Folosirea componentelor LUA în crearea de programe malware este foarte rară: a mai fost detectată anterior doar în atacurile Flame şi Animal Farm.
• Trecerea de măsurile de securitate care izolează – fizic – o reţea sigură de una nesigură: ProjectSauron foloseşte drive-uri USB pregătite special pentru a trece de reţelele izolate. Aceste drive-uri USB au compartimente ascunse unde sunt păstrate datele furate.
• Multiple mecanisme de sustragere: ProjectSauron implementează mai multe căi de sustragere a datelor, inclusiv prin canale legitime cum sunt email-ul şi DNS (Domain Name System), cu informaţiile furate de la victimă deghizate în trafic de zi cu zi.
Aparent, ProjectSauron este activ cel puţin din anul 2011, însă datorită modului în care a fost conceput pentru a funcţiona nedetectat a putut fi reperat doar recent, după ce un reprezentantul unei organizaţii guvernamentale a contactat Kaspersky pentru investigarea unor activităţi suspecte în traficul de date al unei reţele protejate, scrie go4it.ro.
Potrivit experţilor Symantec, există indicii privind infiltrarea a cel puţin 36 computere şi 7 organizaţii din anul 2011 şi până în prezent. Printre ţintele vizate se regăsesc şi câteva persoane din Rusia, o linie aeriană chineză, o organizaţie din Suedia şi o ambasadă din Belgia. Kaspersky adaugă pe listă şi mai multe centre de cercetare, instalaţii militare, companii de telecomunicaţii şi instituţii financiare.
Vestea bună este că utilizatorii de rând nu sunt vizaţi, organizaţiile aflate în spatele acestor atacuri concentrând eforturile strict asupra actorilor statali şi instalaţii industriale cu importanţă strategică.
