ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Vesti, 10.08.2016, 07:00 AM

Bezbednosni istraživači kompanija Kaspersky Lab i Symantec otkrili su još jednu špijunsku grupu čije delovanje verovatno podržava neka država. Pretnja je najpre nazvana Strider, da bi kasnije bila preimenovana u ProjectSauron koji se spominje u kodu jednog od modula malvera koji grupa koristi.

U septembru 2015. godine, prototip Kaspersky Lab platforme za sprečavanje ciljanih napada zabeležio je nešto neobično u organizaciji jednog svog klijenta. Anomalija je dovela istraživače kompanije do ProjectSaurona, sajber pretnje koja napada državne organizacije pomoću jedinstvenog seta alata, koji je drugačiji za svaku žrtvu, čineći na taj način tradicionalne indikatore kompromitovanosti beskorisnim. Svrha ovih napada je uglavnom bila sajber špijunaža.

Napadači koji stoje iza pretnje ProjectSauron su posebno zainteresovani za pristup šifrovanim komunikacijama, i napadaju ih koristeći naprednu modularnu platformu za sajber špijunažu, koja uključuje niz jedinstvenih alata i tehnika.

Najistaknutija karakteristika taktike koju koriste ProjectSauron napadači jeste namerno odsustvo bilo kakvog obrasca: ProjectSauron prilagođava svoje implante i infrastrukturu svakom pojedinačnom cilju i nikada ih ne koristi ponovo. Ovaj pristup, u kombinaciji sa višestrukim rutama za izvlačenje ukradenih podataka, kao što su legitimni e-mail kanali i DNS, omogućavaju napadačima koji se kriju iza ProjectSaurona da sprovedu tajne i dugoročne špijunske kampanje u ciljanim mrežama.

Stiče se utisak da iza ProjectSaurona stoje iskusni napadači, koji su uložili značajan napor kako bi izvukli pouke od drugih naprednih pretnji, kao što su Duqu, Flame, Equation i Regin. Rezultat tog napora je primena nekih od najinovativnijih tehnika i taktike koje su primenjivali da bi ostali neotkriveni.

Do sada je identifikovano više od 30 organizacija koje su bile mete napada, od kojih se većina nalazi u Rusiji, ali i u Kini, Švedskoj, Belgiji, Iranu, Ruandi i verovatno Italiji. Stručnjaci iz kompanije Kaspersky Lab smatraju da će mnogo veći broj organizacija i geografskih lokacija biti napadnuti u budućnosti.

Na osnovu analize kompanije Kaspersky Lab, ciljane organizacije obično igraju ključnu ulogu u pružanju usluga za državne ustanove i uključuju vladine organizacije, ambasade, vojsku, naučno-istraživačke centre, telekomunikacione operatere, finansijske organizacije.

Forenzičke analize ukazuju da je ProjectSauron započeo u junu 2011., a možda i ranije, i da je još uvek aktivan. Iako se čini da su ove špijunske aktivnosti u velikoj meri prestale, moguće je da je ova pretnja još uvek aktivna na kompjuterskim sistemima koji nisu obuhvaćeni rešenjima Kaspersky Laba.

“Veliki broj ciljanih napada sada se oslanja na jeftine, lako dostupne alate. Nasuprot tome, ProjectSauron je pretnja koja se oslanja na ručno pravljene, poverljive alate i kod koji ima sposobnost da se prilagođava. Pojedinačna upotreba jedinstvenih indikatora, kao što su kontrolni server, ključevi za šifrovanje itd, zajedno sa iskorišćavanjem vrhunskih tehnologija drugih glavnih sajber pretnji, predstavlja nešto novo. Jedini način za odbranu od ovakvih pretnji jeste postojanje višestrukih bezbednosnih slojeva, koji su opremljeni senzorima koji detektuju i najmanju anomaliju u uobičajenom radu organizacije, potpomognuti najrelevantnijim informacijama o sajber pretnjama i taktikama za njihovo sprovođenje, kao i forenzičkim analizama pomoću kojih se uočavaju obrasci koji na prvi pogled ne odaju utisak sajber pretnje”, izjavio je Vitali Kamluk, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Troškovi, složenost, upornost kao i krajnji cilj napada a to je krađa poverljivih i tajnih informacija od državnih organizacija, ukazuju na umešanost ili podršku određene države.

Više detalja o ProjectSauronu možete naći na blogu kompanije Kaspersky Lab, SecureList.com i blogu kompanije Symantec.