ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Vesti, 10.08.2016, 07:00 AM

ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Bezbednosni istraživači kompanija Kaspersky Lab i Symantec otkrili su još jednu špijunsku grupu čije delovanje verovatno podržava neka država. Pretnja je najpre nazvana Strider, da bi kasnije bila preimenovana u ProjectSauron koji se spominje u kodu jednog od modula malvera koji grupa koristi.

U septembru 2015. godine, prototip Kaspersky Lab platforme za sprečavanje ciljanih napada zabeležio je nešto neobično u organizaciji jednog svog klijenta. Anomalija je dovela istraživače kompanije do ProjectSaurona, sajber pretnje koja napada državne organizacije pomoću jedinstvenog seta alata, koji je drugačiji za svaku žrtvu, čineći na taj način tradicionalne indikatore kompromitovanosti beskorisnim. Svrha ovih napada je uglavnom bila sajber špijunaža.

Napadači koji stoje iza pretnje ProjectSauron su posebno zainteresovani za pristup šifrovanim komunikacijama, i napadaju ih koristeći naprednu modularnu platformu za sajber špijunažu, koja uključuje niz jedinstvenih alata i tehnika.

Najistaknutija karakteristika taktike koju koriste ProjectSauron napadači jeste namerno odsustvo bilo kakvog obrasca: ProjectSauron prilagođava svoje implante i infrastrukturu svakom pojedinačnom cilju i nikada ih ne koristi ponovo. Ovaj pristup, u kombinaciji sa višestrukim rutama za izvlačenje ukradenih podataka, kao što su legitimni e-mail kanali i DNS, omogućavaju napadačima koji se kriju iza ProjectSaurona da sprovedu tajne i dugoročne špijunske kampanje u ciljanim mrežama.

Stiče se utisak da iza ProjectSaurona stoje iskusni napadači, koji su uložili značajan napor kako bi izvukli pouke od drugih naprednih pretnji, kao što su Duqu, Flame, Equation i Regin. Rezultat tog napora je primena nekih od najinovativnijih tehnika i taktike koje su primenjivali da bi ostali neotkriveni.

Do sada je identifikovano više od 30 organizacija koje su bile mete napada, od kojih se većina nalazi u Rusiji, ali i u Kini, Švedskoj, Belgiji, Iranu, Ruandi i verovatno Italiji. Stručnjaci iz kompanije Kaspersky Lab smatraju da će mnogo veći broj organizacija i geografskih lokacija biti napadnuti u budućnosti.

Na osnovu analize kompanije Kaspersky Lab, ciljane organizacije obično igraju ključnu ulogu u pružanju usluga za državne ustanove i uključuju vladine organizacije, ambasade, vojsku, naučno-istraživačke centre, telekomunikacione operatere, finansijske organizacije.

Forenzičke analize ukazuju da je ProjectSauron započeo u junu 2011., a možda i ranije, i da je još uvek aktivan. Iako se čini da su ove špijunske aktivnosti u velikoj meri prestale, moguće je da je ova pretnja još uvek aktivna na kompjuterskim sistemima koji nisu obuhvaćeni rešenjima Kaspersky Laba.

“Veliki broj ciljanih napada sada se oslanja na jeftine, lako dostupne alate. Nasuprot tome, ProjectSauron je pretnja koja se oslanja na ručno pravljene, poverljive alate i kod koji ima sposobnost da se prilagođava. Pojedinačna upotreba jedinstvenih indikatora, kao što su kontrolni server, ključevi za šifrovanje itd, zajedno sa iskorišćavanjem vrhunskih tehnologija drugih glavnih sajber pretnji, predstavlja nešto novo. Jedini način za odbranu od ovakvih pretnji jeste postojanje višestrukih bezbednosnih slojeva, koji su opremljeni senzorima koji detektuju i najmanju anomaliju u uobičajenom radu organizacije, potpomognuti najrelevantnijim informacijama o sajber pretnjama i taktikama za njihovo sprovođenje, kao i forenzičkim analizama pomoću kojih se uočavaju obrasci koji na prvi pogled ne odaju utisak sajber pretnje”, izjavio je Vitali Kamluk, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Troškovi, složenost, upornost kao i krajnji cilj napada a to je krađa poverljivih i tajnih informacija od državnih organizacija, ukazuju na umešanost ili podršku određene države.

Više detalja o ProjectSauronu možete naći na blogu kompanije Kaspersky Lab, SecureList.com i blogu kompanije Symantec.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovan OpenSubtitles, ukradeni podaci 7 miliona korisnika

Hakovan OpenSubtitles, ukradeni podaci 7 miliona korisnika

OpenSubtitles, popularni veb sajt na kome možete naći titlove za filmove, objavio je da je hakovan prošle godine i da je posle napada plaćena otk... Dalje

Microsoft Edge dobija novu zaštitu od hakerskih napada

Microsoft Edge dobija novu zaštitu od hakerskih napada

Microsoft je dodao Edgeu novu funkciju koja je dostupna na beta kanalu a koja će ublažiti eksploataciju nepoznatih ranjivosti. Nova funkcija je deo... Dalje

Nova godina nije počela dobro za sajber kriminalce: ugašen VPN koji je korišćen za širenje ransomwarea

Nova godina nije počela dobro za sajber kriminalce: ugašen VPN koji je korišćen za širenje ransomwarea

VPNLab.net koji su sajber kriminalci koristili za distribuciju ransomwarea i malvera, i ali i za druge kriminalne aktivnosti uklonjen je sa mreže 17.... Dalje

Telegram postao ''sigurna kuća'' za sajber kriminalce koji prodaju ukradene platne kartice

Telegram postao ''sigurna kuća'' za sajber kriminalce koji prodaju ukradene platne kartice

Sajber kriminalci sve više zloupotrebljavaju Telegram za prodaju ukradenih finansijskih podataka anonimnim korisnicima aplikacije, kažu istraživač... Dalje

Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete

Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete

Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google... Dalje