ProjectSauron: Μια κορυφαία πλατφόρμα ψηφιακής κατασκοπείας

ProjectSauron

Τον Σεπτέμβριο του 2015, η πλατφόρμα Anti-Targeted Attack της Kaspersky Lab επισήμανε ένα ασυνήθιστο χαρακτηριστικό στο δίκτυο ενός οργανισμού. Η «ανωμαλία» αυτή οδήγησε τους ερευνητές στην αποκάλυψη του «ProjectSauron», ενός απειλητικού φορέα με εθνική/κρατική υποστήριξη, ο οποίος επιτίθεται σε κρατικούς οργανισμούς, χρησιμοποιώντας ένα μοναδικό σύνολο εργαλείων για κάθε θύμα, καθιστώντας τους παραδοσιακούς δείκτες παραβίασης σχεδόν άχρηστους. Στόχος των επιθέσεων φαίνεται να είναι κυρίως η ψηφιακή κατασκοπεία.

Το ProjectSauron εστιάζει στην απόκτηση πρόσβασης σε κρυπτογραφημένες επικοινωνίες, χρησιμοποιώντας μία προηγμένη αρθρωτή πλατφόρμα ψηφιακής κατασκοπείας, η οποία ενσωματώνει μια σειρά από μοναδικά εργαλεία και τεχνικές. Το πιο αξιοσημείωτο χαρακτηριστικό του ProjectSauron είναι η εσκεμμένη αποφυγή προτύπων συμπεριφοράς. Το ProjectSauron προσαρμόζει τα «εμφυτεύματα» και την υποδομή του για κάθε επιμέρους στόχο και ποτέ δεν τα επαναχρησιμοποιεί. Η προσέγγιση αυτή, σε συνδυασμό με πολλαπλές διαδρομές για την εκδιήθηση των κλεμμένων δεδομένων, όπως νόμιμα κανάλια email και DNS, δίνει τη δυνατότητα στο ProjectSauron να διεξάγει μυστικές, μακροπρόθεσμες εκστρατείες κατασκοπείας σε δίκτυα-στόχους.

Το ProjectSauron δίνει την εντύπωση ότι όποιος βρίσκεται πίσω από αυτό είναι ένας έμπειρος και παραδοσιακός φορέας, που έχει καταβάλει σημαντικές προσπάθειες για την μελέτη άλλων εξαιρετικά προηγμένων φορέων, όπως Duqu, Flame, Equationκαι Regin, υιοθετώντας μερικές από τις πιο καινοτόμες τεχνικές τους και βελτιώνοντας τις τακτικές τους, προκειμένου να παραμείνει κρυφός.

Βασικά χαρακτηριστικά

Τα εργαλεία και οι τεχνικές του ProjectSauron που παρουσιάζουν ιδιαίτερο ενδιαφέρον είναι οι εξής:

  • Μοναδικό αποτύπωμα: Τα βασικά του εμφυτεύματα έχουν διαφορετικά ονόματα και μεγέθη αρχείων και είναι ξεχωριστά φτιαγμένα για κάθε στόχο, γεγονός που καθιστά πολύ δύσκολο τον εντοπισμό τους, δεδομένου ότι οι ίδιοι βασικοί δείκτες παραβίασης θα είχαν μικρή αξία για οποιοδήποτε άλλο στόχο.
  • Χρήση της μνήμης: Τα βασικά εμφυτεύματα κάνουν χρήση των νόμιμων scriptsπου χρησιμοποιούνται για ενημερώσεις λογισμικού και λειτουργούν ως backdoors, κατεβάζοντας νέες ενότητες ή «τρέχοντας» εντολές από τον εισβολέα καθαρά στη μνήμη ενός συστήματος.
  • Κλίση προς τις κρυπτογραφημένες επικοινωνίες: Το ProjectSauron αναζητά ενεργά πληροφορίες που σχετίζονται με αρκετά σπάνιο και προσαρμοσμένο λογισμικό κρυπτογράφησης δικτύου. Αυτό το λογισμικό clientserver έχει ευρέως υιοθετηθεί από πολλές από τις οργανώσεις-στόχους για τη διασφάλιση των επικοινωνιών, των μηνυμάτων τηλεφωνητή, του ηλεκτρονικού ταχυδρομείου, και της ανταλλαγής εγγράφων. Οι επιτιθέμενοι ενδιαφέρονται ιδιαίτερα για την κρυπτογράφηση συστατικών στοιχείων του λογισμικού, κλειδιά, αρχεία ρυθμίσεων και τη θέση των servers που αναμεταδίδουν κρυπτογραφημένα μηνύματα ανάμεσα στους κόμβους ενός δικτύου.
  • Ευελιξία που βασίζεται στη χρήση script: Ο φορέας ProjectSauron έχει θέσει σε εφαρμογή μια σειρά από εργαλεία χαμηλού επιπέδου, που έχουν ενορχηστρωθεί από υψηλού επιπέδου scripts LUA. Η χρήση των στοιχείων LUA σε κακόβουλο λογισμικό είναι πολύ σπάνια. Προηγουμένως, έχει εντοπιστεί μόνο  στις επιθέσεις Flame και Animal Farm.
  • Παράκαμψη λύσεων απομόνωσης δικτύων: Το ProjectSauron κάνει χρήση ειδικά προετοιμασμένων μονάδωνUSB, ώστε να διαπερνά απομονωμένα δίκτυα. Αυτές οι μονάδεςUSB κρύβουν τα τμήματα στα οποία είναι κρυμμένα τα κλεμμένα δεδομένα.
  • Πολλαπλοί μηχανισμοί εκδιήθησης δεδομένων: Το ProjectSauron υλοποιεί μια σειρά από διαδρομές για να συλλέξει δεδομένα, συμπεριλαμβανομένων νόμιμων καναλιών, όπως emailκαι DNS Έτσι, οι κλεμμένες πληροφορίες που έχουν αντιγραφεί από το θύμα, «μεταμφιέζονται» στην καθημερινή ροή εργασιών.

Γεωγραφική εξάπλωση και προφίλ θυμάτων

Μέχρι σήμερα, πάνω από 30 οργανισμοί-θύματα έχουν εντοπιστεί στη Ρωσία, το Ιράν και τη Ρουάντα, και ενδέχεται να υπάρχουν θύματα και σε κάποιες ιταλόφωνες χώρες. Η Kaspersky Lab πιστεύει ότι πολλοί περισσότεροι οργανισμοί και γεωγραφικές περιοχές είναι πιθανό να επηρεαστούν.

Με βάση την ανάλυση της Kaspersky Lab, οι οργανισμοί-στόχοι γενικά διαδραματίζουν καίριο ρόλο στην παροχή κρατικών υπηρεσιών και περιλαμβάνουν:

  • Κυβερνητικούς φορείς
  • Στρατιωτικούς οργανισμούς
  • Κέντρα Επιστημονικής Έρευνας
  • Παρόχους τηλεπικοινωνιών
  • Χρηματοοικονομικούς οργανισμούς

Η ψηφιακή εγκληματολογική ανάλυση δείχνει ότι ProjectSauron έχει αρχίσει να λειτουργεί από τον Ιούνιο του 2011 και παραμένει ενεργό το 2016. Άγνωστο παραμένει το αρχικό μέσο«μόλυνσης» που χρησιμοποιείται από το ProjectSauron, για να διεισδύσει στα δίκτυα των θυμάτων του.

«Πολλές στοχευμένες επιθέσεις βασίζονται πλέον σε χαμηλού κόστους κι άμεσα διαθέσιμα εργαλεία. Το ProjectSauron, αντίθετα, είναι ένας από εκείνους τους φορείς που βασίζονται σε αυτοσχέδια, αξιόπιστα εργαλεία και προσαρμόσιμο κώδικα. Σχετικά νέα είναι η χρήση μοναδικών δεικτών, όπως ο control server, τα κλειδιά κρυπτογράφησης και άλλα, πέρα από την υιοθέτηση προηγμένων τεχνικών από άλλους σημαντικούς απειλητικούς φορείς. Ο μόνος τρόπος για να ανταπεξέλθουμε σε αυτές τις απειλές είναι να διαθέτουμε πολλαπλά επίπεδα ασφάλειας, που να βασίζονται σε μια αλυσίδα αισθητήρων, οι οποίοι θα παρακολουθούν ακόμη και την παραμικρή «ανωμαλία» στη ροή εργασιών. Αυτό θα πρέπει να ενισχυθεί με πληροφόρηση γύρω από τις απειλές ασφάλειας και διαδικασίες εγκληματολογικής ανάλυσης, ώστε να εντοπίζονται πρότυπα συμπεριφοράς, ακόμη κι όταν φαίνεται να μην υπάρχουν», δήλωσε ο Vitaly Kamluk, Principal Security Researcher της Kaspersky Lab.

Με βάση το κόστος, την πολυπλοκότητα, την επιμονή και τον απώτερο στόχο της επιχείρησης, δηλαδή την υποκλοπή εμπιστευτικών και απόρρητων πληροφοριών από ευαίσθητους κρατικούς οργανισμούς, συνιστούν τη συμμετοχή ή την υποστήριξη ενός κράτους.

Οι ειδικοί ασφάλειας της Kaspersky Lab συνιστούν στους οργανισμούς να προβούν σε ενδελεχή έλεγχο των δικτύων πληροφορικής και των τερματικών τους, καθώς και να εφαρμόσουν τα ακόλουθα μέτρα:

  • Να εισάγουν μία λύση anti-targeted attack, η οποία θα λειτουργεί μαζί με μια νέα ή υφιστάμενη λύση προστασίας τερματικών. Από μόνη της, μια λύση για την προστασία των τερματικών δεν είναι αρκετή για να αντέξει τη νέα γενιά των απειλητικών φορέων.
  • Να απευθυνθούν σε ειδικούς, αν εντοπιστεί η οποιαδήποτε ανωμαλία στην τεχνολογική τους υποδομή. Οι πιο προηγμένες λύσεις ασφάλειας θα είναι σε θέση να εντοπίζουν μια επίθεση, ακόμη και τη στιγμή που γίνεται, οι επαγγελματίες της ασφάλειας είναι μερικές φορές οι μόνοι που μπορούν αποτελεσματικά να εμποδίσουν, να αμβλύνουν και να αναλύσουν μεγάλες επιθέσεις.
  • Να συμπληρώνουν τα παραπάνω μέτρα με υπηρεσίες πληροφόρησης σε σχέση με τις απειλές. Έτσι, τα στελέχη των οργανισμών που έχουν την ευθύνη για την ψηφιακή ασφάλειας θα είναι πλήρως ενημερωμένα για τις τελευταίες εξελίξεις στο τοπίο των απειλών, τις τάσεις στον τομέα των ψηφιακών επιθέσεων και τα σημάδια που πρέπει να προσεχθούν.
  • Δεδομένου ότι πολλές μεγάλες επιθέσεις ξεκινούν μέσω ενεργειών spear-phishing ή κάποιας άλλης προσέγγισης προς τους εργαζομένους, οι οργανισμοί οφείλουν να βεβαιωθούν ότι το προσωπικό τους κατανοεί και υιοθετεί υπεύθυνες ψηφιακές συμπεριφορές.

Η πλήρης έκθεση για το ProjectSauron είναι ήδη διαθέσιμη στους πελάτες της υπηρεσίας πληροφόρησης Kaspersky Lab APT Intelligence. Περισσότερες πληροφορίες είναι διαθέσιμες στην ηλεκτρονική διεύθυνση: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting.

Οι δείκτες παραβίασης και οι κανόνες YARA είναι διαθέσιμοι.

Όλα τα προϊόντα της Kaspersky Lab εντοπίζουν δείγματα της απειλής ProjectSauron, με την κωδική ονομασία HEUR: Trojan.Multi.ProjectSauron.gen.

Περισσότερες πληροφορίες σχετικά με το ProjectSauron είναι διαθέσιμες σε ειδικό blogpost, στο Securelist.com.

Περισσότερες πληροφορίες για το πώς τα προϊόντα της Kaspersky Lab μπορούν να προστατεύσουν τους χρήστες από την απειλή αυτή, είναι διαθέσιμες στην ιστοσελίδα της KasperskyLab.

Το XBLOG χρησιμοποιεί cookies για την ορθή λειτουργία του.