Kaspersky Lab
Internet

ProjectSauron: Platforma za špijunažu koja tajno izvlači podatke o komunikaciji vladinih organizacija

U septembru 2015. godine, prototip Kaspersky Lab platforme za sprečavanje ciljanih napada obeležio je neobičnu karakteristiku u organizaciji jednog svog klijenta. Anomalija je dovela istraživače kompanije do ProjectSauron-a, sajber pretnje koja napada državne organizacije pomoću jedinstvenog seta alata, koji je drugačiji za svaku žrtvu, čineći na taj način tradicionalne indikatore o kompromitovanosti beskorisnim. Svrha ovih napada je uglavnom bila sajber špijunaža.

Napadači iza ProjectSauron pretnju su posebno zainteresovani za pristup šifrovanim komunikacijama, i napadaju ih koristeći naprednu modularnu sajber špijunažnu platformu, koja uključuje niz jedinstvenih alata i tehnika. Najistaknutija karakteristika taktike koju koriste ProjectSauron napadači jeste namerno odsustvo bilo kakvog obrasca: ProjectSauron prilagođava svoje implante i infrastrukturu za svaku pojedinačnu metu i nikada ih ne koristi ponovo. Ovaj pristup, u kombinaciji sa višestrukim rutama za izvlačenje ukradenih podataka, kao što su legitimni i-mejl kanali i DNS, omogućavaju napadačima koji se kriju iz ProjectSauron pretnje da sprovedu tajne i dugoročne špijunske kampanje u ciljanim mrežama.

ProjectSauron odaje utisak iskusnog i tradicionalnog aktera, čiji su napadači uložili značajan napor kako bi izvukli pouke od drugih naprednih pretnji, kao što su Duqu, Flame, Equation i Regin; usvajanjem nekih od najinovativnijih tehnika i poboljšavanjem njihove taktike kako bi ostao neotkriven.

Ključne karakteristike

Neki od značajnih alata i tehnika ProjectSauron pretnje podrazumevaju:

  • Jedinstven otisak – Osnovni (jezgra implanata) implanti imaju različita imena i veličine i pojedinačno su kreirani za svaku metu, zbog čega ih je veoma teško otkriti, budući da osnovni indikatori kompromitovanja imaju malu vrednost za bilo koju drugu metu.
  • Rad u memoriji – Osnovni implanti koriste legitimni softver za ažuriranje i rade kao backdoor virusi, preuzimajući nove module ili izvršavajući komande napadača preko memorije.
  • Sklonost ka kriptokomunikacijama – ProjectSauron aktivno traži informacije u vezi sa prilično retkim, mrežnim softverom za šifrovanje. Ovaj klijent-server softver u velikoj meri koriste mnoge oraganizacija kako bi obezbedili komunikaciju, i-mejlova i dokumenata. Napadači su posebno zainteresovani za komponente softvera za šifrovanje, ključeve, konfiguracijske fajlove, kao i za lokacije servera koji prenose šifrovane poruke između tačaka.
  • Fleksibilnost skripte – Napadači iza ProjectSauron pretnje koriste set alata kojima upravljaju LUA skripte visokog nivoa. Upotreba LUA komponenti u malverima je voam retka – prethodno je primećena samo u napadima sajber pretnji Flame i Animal Farm.
  • Zaobilaženje vazdušnih granica – ProjectSauron koristi specijano pripremljen USB uređaj za zaobilaženje vezdušnih granica na mrežama. Ovi USB uređaji imaju skrivene pregrade u kojima su sakriveni ukradeni podaci.
  • Vešestruki mehanizmi za izvlačenje podataka: ProjectSauron obezbeđuje višestruke rute za izvlačenje podataka, ukjučujući legitimne kanale kao što su i-mejl i DNS, pomoću ukradenih podataka kopiranih od žrtve i pretvorenih u deo svakodnevnog saobraćaja.

Geografska rasprostranjenost/profil žrtve

Do sada je indetifikovano više od 30 organizacija koje su bile mete napada, od kojih se većina nalazi u Rusiji. Stručnjaci iz kompanije Kaspersky Lab smatraju da će mnogo veći broj organizacija i geografskih lokacija biti napadnuti u budućnosti.

Na osnovu analize kompanije Kaspersky Lab, ciljane organizacije obično igraju ključnu ulogu u pružanju usluga za državne ustanove i uključuju:

  • Vladine organizacije
  • Vojsku
  • Naučno-istraživačke centre
  • Telekomunikacione operatere
  • Finansijske organizacije

 

Forenzička analiza ukazuje na to da je ProjectSauron operativan od juna 2011. godine i da je i dalje aktivan u 2016. godini. Početni vektor infekcije koji koristi ProjectSauron da prodre u mreže žrtava je i dalje nepoznat.

„Veliki broj ciljanih napada sada se oslanja na jeftine, lako dostupne alate. Nasuprot tome, ProjectSauron je pretnja koja se oslanja na ručno pravljene, poverljive alate i kod koji ima sposobnost da se prilagođava. Pojedinačna upotreba jedinstvenih indikatora, kao što su kontrolni server, ključevi za šifrovanje itd., zajedno sa iskorišćavanjem vrhunskih tehnologija drugih glavnih sajber pretnji, predstavlja nešto novo. Jedini način za odbranu od ovakvih pretnji jeste postojanje višestrukih bezbednosnih slojeva, koji su opremljeni senzorima koji detektuju i najmanju anomaliju u uobičajenom radu organizacije, i potpomognuti najrelevantnijim informacijama o sajber pretnjama i taktikama za njihovo sprovođenje, kao i forenzičkim analizama pomoću kojih se uočavaju obrasci koji na prvi pogled ne odaju utisak sajber pretnje”, izjavio je Vitali Kamluk (Vitaly Kamluk), glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Troškovi, složenost, upornost i krajnji cilj napada jeste sledeći: krađa poverljivih i tajnih informacija od državnih organizacija, što ukazuje na umešanost ili podršku određene države.

Bezbednosni stručnjaci iz kompanije Kaspersky Lab savetuju organizacije da temeljno pregledaju svoje IT mreže i da sprovedu sledeće mere:

  • Uvođenje bezbednosnog rešenja protiv ciljanih napada, zajedno sa novom ili postojećom zaštitom za krajnje korisnike. Zaštita za krajnje korisnike sama po sebi nije dovoljna da izdrži novu generaciju sajber pretnji.
  • Konsultacija sa stručnjacima ukoliko bezbednosno rešenje detektuje anomaliju. Najnaprednija bezbednosna rešenja će biti u stanju da uoče napad, a bezbednosni stručnjaci su ponekad jedini koji mogu efikasno da blokiraju, ublaže i analiziraju velike napade.
  • Korišćenje usluga koje podrazumevaju redovno informisanje o najnovijim i najnaprednijim sajber pretnjama: na ovaj način, bezbednosni timovi će biti informisani o aktuelnim pretnjama i njihovoj evoluciji, novim trendovima prilikom sprovođenja napada i znakovima na koje treba obratiti pažnju.
  • Since many major attacks start with a spear-phishing or other approach to employees, make sure that staff understand and practice responsible cyber-behavior.
  • Edukovanje zaposlenih o pravilnom sajber ponašanju, budući da mnoge operacije počinju sa „fišing“ napadima, ili drugim metodama koje podrazumevaju targetiranje zaposlenih.

Leave a Reply