ProjectSauron: zaawansowana platforma szpiegowska przechwytująca zaszyfrowaną komunikację rządową

Kaspersky Lab wykrył „ProjectSauron” – kampanii cyberprzestępczej, której celem są organizacje rządowe. Atakujący wykorzystują unikatowy zestaw narzędzi dla każdej z ofiar, w wyniku czego szkodliwe działania są bardzo trudne do wykrycia. Nadrzędnym celem atakujących jest najprawdopodobniej cyberszpiegostwo.

Grupa ProjectSauron jest szczególnie zainteresowana uzyskiwaniem dostępu do zaszyfrowanych kanałów komunikacji, śledząc je z użyciem zaawansowanej platformy cyberszpiegowskiej, która wykorzystuje zestaw unikatowych narzędzi i technik. Najistotniejszym elementem taktyki grupy ProjectSauron jest umyślne unikanie powtarzania się: atakujący dostosowują szkodliwe narzędzia i infrastrukturę dla każdego z celów i nigdy nie używają ponownie tych samych metod. Takie podejście, uzupełnione o różne metody wyprowadzania skradzionych danych, pozwala ugrupowaniu prowadzić potajemne, długotrwałe kampanie szpiegowskie w sieciach ofiar.

Osoby stojące za kampanią ProjectSauron sprawiają wrażenie doświadczonych ekspertów, którzy czerpią wiedzę od innych zaawansowanych ugrupowań, takich jak Duqu, Flame, Equation oraz Regin, adaptując cześć ich najbardziej innowacyjnych technik i udoskonalając je, a wszystko w jednym celu – by jak najdłużej działać w sieciach ofiar bez wykrycia.

Do najistotniejszych narzędzi i technik wykorzystywanych przez ugrupowanie ProjectSauron należą:

1. Unikatowe podejście do każdej ofiary. Najważniejsze szkodliwe moduły posiadają różne rozmiary oraz nazwy i są przygotowywane indywidualnie dla każdej ofiary, co sprawia, że działania grupy są bardzo trudne do wykrycia. Symptomy infekcji zaobserwowane u danej ofiary są niemal całkowicie bezużyteczne w przypadku pozostałych ofiar.
   
2. Działanie wyłącznie w pamięci. Szkodliwe narzędzia wykorzystują legalne skrypty aktualizacji i pozwalają na pobieranie dalszych modułów lub wykonywanie poleceń cyberprzestępców, funkcjonując wyłącznie w pamięci atakowanego komputera.
   
3. Nastawienie na zaszyfrowane kanały komunikacji. ProjectSauron aktywnie szuka informacji związanych z rzadko występującym, personalizowanym oprogramowaniem wykorzystywanym do szyfrowania komunikacji sieciowej. To oprogramowanie klient-serwer jest stosowane do zabezpieczania komunikacji, połączeń głosowych, korespondencji e-mai i wymiany dokumentów. Atakujący są szczególnie zainteresowani komponentami oprogramowania szyfrującego, kluczami, plikami konfiguracyjnymi oraz lokalizacją serwerów, które przekazują zaszyfrowane informacje między węzłami.
   
4. Możliwość dostosowywania szkodliwej funkcjonalności przy użyciu skryptów. Ugrupowanie ProjectSauron stosuje zestaw narzędzi przygotowanych z użyciem języka skryptowego Lua. Język ten jest niezmiernie rzadko stosowany w świecie cyberprzestępczym – wcześniej został zidentyfikowany tylko w kampaniach Flame oraz Animal Farm.
   
5. Przenikanie do sieci odizolowanych od internetu. ProjectSauron korzysta ze specjalnie przygotowanych nośników USB do infekowania sieci, które nie mają połączenia z internetem. Nośniki te zawierają ukryte sekcje, w których zapisywane są skradzione dane.
   
6. Wiele mechanizmów wyprowadzania danych. Atakujący stosują szereg metod pozyskiwania skradzionych danych, łączne z legalnymi kanałami, takimi jak e-mail – w tym przypadku wyprowadzane dane są ukrywane w codziennym ruchu.

Na chwilę obecną zidentyfikowano ponad trzydzieści ofiar, z których większość zlokalizowana jest w Rosji, Iranie, Rwandzie oraz w krajach, w których korzysta się z języka włoskiego. Na celowniku atakujących może być więcej organizacji z innych części świata.

W oparciu o własne badania eksperci z Kaspersky Lab ustalili, że organizacje znajdujące się na celowniku omawianej grupy odgrywają kluczową rolę w funkcjonowaniu struktur państwowych i obejmują:

rząd,

wojsko,

centra naukowe i badawcze,

operatorów telekomunikacyjnych,

organizacje finansowe.

Analiza kryminalistyczna wykazała, że grupa ProjectSauron działa od czerwca 2011 r. i ciągle jest aktywna. Metoda wykorzystywana przez atakujących do wstępnej infekcji ofiar pozostaje nieznana.

Wersja do druku

23.08.2016 r.

Wzrost liczby sieci zainfekowanych komputerów z systemem Linux, 10:22

21.08.2016 r.

Intel: 7 nanometrów bez EUV?, 9:28

23.08.2016 r.

Operacja Ghoul: cyberprzestępcy biorą na celownik organizacje przemysłowe, wykorzystując gotowe szkodliwe oprogramowanie, 10:32

Wybory w Stanach Zjednoczonych oraz Donald Trump - spam w II kw. 2016 r., 10:36