O platformă de spionaj accesează, în secret, mesaje guvernamentale criptate

O platformă de spionaj accesează, în secret, mesaje guvernamentale criptate

ProjectSauron, o nouă ameninţare cibernetică pentru organizaţiile mari.

ProjectSauron este o nouă ameninţare informatică identificată de experţi în securitate cibernetică, iar aceasta ţinteşte organizaţii guvernamentale.

În septembrie 2015, soluţia Kaspersky Lab Anti-Targeted Attack Platform a detectat un element neobişnuit în reţeaua unei organizaţii-client. Anomalia i-a condus pe cercetători la ProjectSauron, o grupare la nivel statal. Aceasta atacă organizaţii guvernamentale cu un set unic de instrumente pentru fiecare victimă. Astfel, indicatorii tradiţionali privind compromiterea sistemului îşi pierd din eficienţă. Scopul atacurilor este, conform datelor de până acum, spionajul cibernetic.

ProjectSauron este interesat îndeosebi să obţină acces la comunicaţii criptate, pe care le „vânează” folosind o platformă modulară avansată de spionaj cibernetic, cu un set de instrumente şi tehnici unice. O caracteristică remarcabilă este evitarea deliberată a tiparelor: ProjectSauron îşi personalizează instrumentele de atac şi infrastructura pentru fiecare victimă şi nu le mai foloseşte niciodată. Această abordare, împreună cu numeroase căi de sustragere a datelor furate, cum ar fi canalele legitime de email şi DNS (Domain Name System), permit grupării ProjectSauron să deruleze în secret campanii de spionaj pe termen lung, în reţelele vizate.

ProjectSauron pare să fie un grup experimentat şi tradiţional de atacatori care face eforturi considerabile să înveţe de la alţi „actori” foarte avansaţi din peisajul ameninţărilor cibernetice, inclusiv de la Duqu, Flame, Equation şi Regin. Ei adoptă unele dintre cele mai inovatoare tehnici ale acestora şi le îmbunătăţesc pentru a rămâne nedescoperiţi.

Cele mai interesante instrumente şi tehnici ProjectSauron

Amprenta unică: instrumentele esenţiale de atac au nume şi dimensiuni diferite de fişiere, construite pentru fiecare ţintă în parte – ceea ce face detecţia foarte dificilă, din moment ce aceleaşi indicii elementare asupra compromiterii sistemului ar fi neinteresante pentru orice altă victimă.

Funcţionarea în memorie: Instrumentele esenţiale de atac folosesc script-uri legitime de actualizări de software şi funcţionează ca backdoor-uri, descărcând noi module sau lansând comenzi din partea atacatorului direct în memorie.

O preferinţă pentru comunicaţii criptate: ProjectSauron caută informaţii referitoare la un software de criptare destul de rar şi personalizat. Acest software este foarte răspândit în rândul organizaţiilor vizate, pentru a-şi securiza comunicaţiile, apelurile, email-urile şi schimbul de documente. Atacatorii sunt foarte interesaţi de componente ale software-ului de criptare, chei, fişiere de configurare şi localizarea serverelor care transmit mesajele criptate, între două puncte.

Flexibilitate bazată pe script: ProjectSauron a implementat un set de instrumente de bază care sunt orchestrate de script-uri în limbajul LUA. Folosirea componentelor LUA în crearea de programe malware este foarte rară: a mai fost detectată anterior doar în atacurile Flame şi Animal Farm.

Trecerea de măsurile de securitate care izolează - fizic - o reţea sigură de una nesigură: ProjectSauron foloseşte drive-uri USB pregătite special pentru a trece de reţelele izolate. Aceste drive-uri USB au compartimente ascunse unde sunt păstrate datele furate.

Multiple mecanisme de sustragere: ProjectSauron implementează mai multe căi de sustragere a datelor, inclusiv prin canale legitime cum sunt email-ul şi DNS (Domain Name System), cu informaţiile furate de la victimă deghizate în trafic de zi cu zi.

Profilul victimelor şi localizarea geografică

Au fost identificate peste 30 de organizaţii-victimă, majoritatea fiind localizate în Rusia, Iran şi Rwanda. Există posibilitatea unor victime în ţări vorbitoare de limba italiană. Organizaţiile vizate joacă, de regulă, un rol esenţial în asigurarea unor servicii în stat, care include zona guvernamentală, domeniul militar, centre de cercetare ştiinţifică, operatori telecom sau organizaţii financiare

Analiza indică faptul că ProjectSauron este activ din iunie 2011 şi rămâne activ în 2016. Vectorul iniţial folosit pentru a infecta reţeaua victimei rămâne necunoscut. Costul, complexitatea, persistenţa şi scopul final al operaţiunii - furtul de informaţii confidenţiale şi strict secrete, de la organizaţii care au legături cu un anumit stat - sugerează implicarea sau sprijinul la nivel statal.

Măsurile care pot preveni atacurile

Introducerea unei soluţii anti-atacuri cu ţintă predefinită alături de protecţia endpoint, nouă sau deja existentă. Doar protecţia endpoint nu este suficientă pentru a face faţă noii generaţii de atacatori. Şi, din moment ce multe atacuri majore încep cu un mesaj de phishing sau cu un alt mod de abordare a angajaţilor, personalul trebuie să înţeleagă şi să practice un comportament responsabil în spaţiul cibernetic.

Solicitarea unei evaluări realizată de experţi, dacă este semnalată o anomalie. Cele mai avansate soluţii de securitate vor fi capabile să detecteze un atac chiar în momentul în care se întâmplă şi, uneori, profesioniştii în domeniul securităţii sunt singurii care pot bloca sau diminua efectele lor şi analiza atacurile majore.

Dublarea măsurile de mai sus cu achiziţionarea de servicii de informaţii despre ameninţări: astfel, echipele responsabile cu securitatea vor fi la curent cu ultimele evoluţii din domeniul ameninţărilor cibernetice, metodele de atac şi indiciile la care să fie atente.

Hai pe Facebook ca să ştii ce-i nou şi când nu eşti pe site!

Dacă apreciezi acest articol, te așteptăm să intri în comunitatea de cititori de pe pagina noastră de Facebook, printr-un Like mai jos:

citeste totul despre: