ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Vesti, 10.08.2016, 07:00 AM

ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Bezbednosni istraživači kompanija Kaspersky Lab i Symantec otkrili su još jednu špijunsku grupu čije delovanje verovatno podržava neka država. Pretnja je najpre nazvana Strider, da bi kasnije bila preimenovana u ProjectSauron koji se spominje u kodu jednog od modula malvera koji grupa koristi.

U septembru 2015. godine, prototip Kaspersky Lab platforme za sprečavanje ciljanih napada zabeležio je nešto neobično u organizaciji jednog svog klijenta. Anomalija je dovela istraživače kompanije do ProjectSaurona, sajber pretnje koja napada državne organizacije pomoću jedinstvenog seta alata, koji je drugačiji za svaku žrtvu, čineći na taj način tradicionalne indikatore kompromitovanosti beskorisnim. Svrha ovih napada je uglavnom bila sajber špijunaža.

Napadači koji stoje iza pretnje ProjectSauron su posebno zainteresovani za pristup šifrovanim komunikacijama, i napadaju ih koristeći naprednu modularnu platformu za sajber špijunažu, koja uključuje niz jedinstvenih alata i tehnika.

Najistaknutija karakteristika taktike koju koriste ProjectSauron napadači jeste namerno odsustvo bilo kakvog obrasca: ProjectSauron prilagođava svoje implante i infrastrukturu svakom pojedinačnom cilju i nikada ih ne koristi ponovo. Ovaj pristup, u kombinaciji sa višestrukim rutama za izvlačenje ukradenih podataka, kao što su legitimni e-mail kanali i DNS, omogućavaju napadačima koji se kriju iza ProjectSaurona da sprovedu tajne i dugoročne špijunske kampanje u ciljanim mrežama.

Stiče se utisak da iza ProjectSaurona stoje iskusni napadači, koji su uložili značajan napor kako bi izvukli pouke od drugih naprednih pretnji, kao što su Duqu, Flame, Equation i Regin. Rezultat tog napora je primena nekih od najinovativnijih tehnika i taktike koje su primenjivali da bi ostali neotkriveni.

Do sada je identifikovano više od 30 organizacija koje su bile mete napada, od kojih se većina nalazi u Rusiji, ali i u Kini, Švedskoj, Belgiji, Iranu, Ruandi i verovatno Italiji. Stručnjaci iz kompanije Kaspersky Lab smatraju da će mnogo veći broj organizacija i geografskih lokacija biti napadnuti u budućnosti.

Na osnovu analize kompanije Kaspersky Lab, ciljane organizacije obično igraju ključnu ulogu u pružanju usluga za državne ustanove i uključuju vladine organizacije, ambasade, vojsku, naučno-istraživačke centre, telekomunikacione operatere, finansijske organizacije.

Forenzičke analize ukazuju da je ProjectSauron započeo u junu 2011., a možda i ranije, i da je još uvek aktivan. Iako se čini da su ove špijunske aktivnosti u velikoj meri prestale, moguće je da je ova pretnja još uvek aktivna na kompjuterskim sistemima koji nisu obuhvaćeni rešenjima Kaspersky Laba.

“Veliki broj ciljanih napada sada se oslanja na jeftine, lako dostupne alate. Nasuprot tome, ProjectSauron je pretnja koja se oslanja na ručno pravljene, poverljive alate i kod koji ima sposobnost da se prilagođava. Pojedinačna upotreba jedinstvenih indikatora, kao što su kontrolni server, ključevi za šifrovanje itd, zajedno sa iskorišćavanjem vrhunskih tehnologija drugih glavnih sajber pretnji, predstavlja nešto novo. Jedini način za odbranu od ovakvih pretnji jeste postojanje višestrukih bezbednosnih slojeva, koji su opremljeni senzorima koji detektuju i najmanju anomaliju u uobičajenom radu organizacije, potpomognuti najrelevantnijim informacijama o sajber pretnjama i taktikama za njihovo sprovođenje, kao i forenzičkim analizama pomoću kojih se uočavaju obrasci koji na prvi pogled ne odaju utisak sajber pretnje”, izjavio je Vitali Kamluk, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Troškovi, složenost, upornost kao i krajnji cilj napada a to je krađa poverljivih i tajnih informacija od državnih organizacija, ukazuju na umešanost ili podršku određene države.

Više detalja o ProjectSauronu možete naći na blogu kompanije Kaspersky Lab, SecureList.com i blogu kompanije Symantec.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačke političke partije upozorene na napade hakera ruske obaveštajne službe

Nemačka, koja je pružila značajnu vojnu podršku Ukrajini, od početka rata suočava se sa hakerskim napadima i pokušajima špijunaže iz Rusije. ... Dalje