În septembrie 2015, soluția Kaspersky Lab Anti-Targeted Attack Platform a detectat un element neobișnuit în rețeaua unei organizații-client. Anomalia i-a condus pe cercetători la “ProjectSauron”, o grupare la nivel statal, care atacă organizații guvernamentale cu un set unic de instrumente pentru fiecare victimă, făcând inutili indicatorii tradiționali privind compromiterea sistemului. Scopul atacurilor pare să fie, în principal, spionajul cibernetic.
ProjectSauron este interesat îndeosebi să obțină acces la comunicații criptate, pe care le “vânează” folosind o platformă modulară avansată de spionaj cibernetic, cu un set de instrumente și tehnici unice. O caracteristică remarcabilă este evitarea deliberată a tiparelor: ProjectSauron își personalizează instrumentele de atac și infrastructura pentru fiecare victimă și nu le mai folosește niciodată. Această abordare, împreună cu numeroase căi de sustragere a datelor furate, cum ar fi canalele legitime de email și DNS (Domain Name System), permit grupării ProjectSauron să deruleze în secret campanii de spionaj pe termen lung, în rețelele vizate.
ProjectSauron pare să fie un grup experimentat și tradițional de atacatori care face eforturi considerabile să învețe de la alți “actori” foarte avansați din peisajul amenințărilor cibernetice, inclusiv de la Duqu, Flame, Equation și Regin. Ei adoptă unele dintre cele mai inovatoare tehnici ale acestora și le îmbunătățesc pentru a rămâne nedescoperiți.
Principalele caracteristici:
Cele mai interesante instrumente și tehnici ProjectSauron includ:
• Amprenta unică: instrumentele esențiale de atac au nume și dimensiuni diferite de fișiere, construite pentru fiecare țintă în parte – ceea ce face detecția foarte dificilă, din moment ce aceleași indicii elementare asupra compromiterii sistemului ar fi neinteresante pentru orice altă victimă.
• Funcționarea în memorie: Instrumentele esențiale de atac folosesc script-uri legitime de actualizări de software și funcționează ca backdoor-uri, descărcând noi module sau lansând comenzi din partea atacatorului direct în memorie.
• O preferință pentru comunicații criptate: ProjectSauron caută informații referitoare la un software de criptare destul de rar și personalizat. Acest software este foarte răspândit în rândul organizațiilor vizate, pentru a-și securiza comunicațiile, apelurile, email-urile și schimbul de documente. Atacatorii sunt foarte interesați de componente ale software-ului de criptare, chei, fișiere de configurare și localizarea serverelor care transmit mesajele criptate, între două puncte.
• Flexibilitate bazată pe script: ProjectSauron a implementat un set de instrumente de bază care sunt orchestrate de script-uri în limbajul LUA. Folosirea componentelor LUA în crearea de programe malware este foarte rară: a mai fost detectată anterior doar în atacurile Flame și Animal Farm.
• Trecerea de măsurile de securitate care izolează – fizic – o rețea sigură de una nesigură: ProjectSauron folosește drive-uri USB pregătite special pentru a trece de rețelele izolate. Aceste drive-uri USB au compartimente ascunse unde sunt păstrate datele furate.
• Multiple mecanisme de sustragere: ProjectSauron implementează mai multe căi de sustragere a datelor, inclusiv prin canale legitime cum sunt email-ul și DNS (Domain Name System), cu informațiile furate de la victimă deghizate în trafic de zi cu zi.
Profilul victimelor și localizarea geografică
Până în prezent au fost identificate peste 30 de organizații victimă, majoritatea acestora fiind localizate în Rusia, Iran și Rwanda, existând și posibilitatea unor victime în țări vorbitoare de limba italiană. Experții Kaspersky Lab sunt de părere că mult mai multe organizații și spații geografice vor fi afectate în viitor.
Pe baza analizei noastre, organizațiile vizate joacă, de regulă, un rol esențial în asigurarea unor servicii în stat, care includ:
• Zona guvernamentală
• Domeniul militar
• Centre de cercetare științifice
• Operatori telecom
• Organizații financiare
Analiza indică faptul că ProjectSauron este activ din iunie 2011 și rămâne activ în 2016. Vectorul inițial folosit pentru a infecta rețeaua victimei rămâne necunoscut.
“În prezent, unele atacuri cu țintă predefinită se bazează pe instrumente ieftine și ușor de găsit. ProjectSauron, în schimb, este unul dintre cei care se bazează pe instrumente fabricate de ei, în care au încredere, și pe un cod personalizabil. Utilizarea unor indicatori unici, cum ar fi serverul de control, chei de criptare și altele, precum și adoptarea unor tehnici avansate de la alte grupări reprezintă ceva nou. Singura modalitate de a rezista în fața unor amenințări de acest gen este să ai multe niveluri de securitate active, bazate pe un lanț de senzori care monitorizează chiar și cea mai mică anomalie prezentă în fluxul de lucru, totul dublat de informații despre amenințările cibernetice și analize care să urmărească tiparele de comportament, chiar și atunci când pare să nu existe niciunul”, a spus Vitaly Kamluk, Principal Security Researcher la Kaspersky Lab.
Costul, complexitatea, persistența și scopul final al operațiunii – furtul de informații confidențiale și strict secrete, de la organizații care au legături cu un anumit stat – sugerează implicarea sau sprijinul la nivel statal.
Experții în securitate de la Kaspersky Lab le recomandă organizațiilor să inițieze un audit al rețelelor IT și al sistemelor endpoint și să implementeze următoarele măsuri:
• Introducerea unei soluții anti-atacuri cu țintă predefinită alături de protecția endpoint, nouă sau deja existentă. Doar protecția endpoint nu este suficientă pentru a face față noii generații de atacatori.
• Chemați experții dacă vă este semnalată o anomalie. Cele mai avansate soluții de securitate vor fi capabile să detecteze un atac chiar în momentul în care se întâmplă și, uneori, profesioniștii în domeniul securității sunt singurii care pot bloca sau diminua efectele lor și analiza atacurile majore.
• Dublați măsurile de mai sus cu achiziționarea de servicii de informații despre amenințări: astfel, echipele responsabile cu securitatea vor fi la curent cu ultimele evoluții din domeniul amenințărilor cibernetice, metodele de atac și indiciile la care să fie atente.
• Din moment ce multe atacuri majore încep cu un mesaj de phishing sau cu un alt mod de abordare a angajaților, asigurați-vă cu personalul înțelege și practică un comportament responsabil în spațiul cibernetic.