2015. gada septembrī Kaspersky Lab Pretmērķuzbrukumu platforma klienta organizācijas tīklā atzīmēja neparastu funkciju. Šī novirze aizveda pētniekus pie ProjectSauron — valsts apdraudējumu izpildītāja, kas uzbrūk valsts organizācijām ar unikālu rīku komplektu katram upurim, tādējādi padarot gandrīz neizmantojamus tradicionālos uzlaušanas indikatorus. Domājams, ka uzbrukumu galvenais nolūks ir kiberspiegošana.512340-project-sauron-hacking-group

ProjectSauron sevišķi interesējas par piekļuvi šifrētai saziņai, medījot to ar progresīvu modulāro kiberspiegošas platformu, kas ietver unikālu rīku un paņēmienu kopumu. Remsec taktikas visbūtiskākā iezīme ir apzināta izvairīšanās no sistemātiskuma: ProjectSauron pielāgo savus implantus un infrastruktūru katram atsevišķajam mērķim un nekad tos neizmanto atkārtoti. Šī pieeja apvienojumā ar vairākiem nozagto datu eksfiltrācijas ceļiem, piemēram, leģitīmiem e-pasta kanāliem un DNS, ļauj ProjectSauron veikt slepenas, ilgtermiņa spiegošanas kampaņas izvēlētajos tīklos.

ProjectSauron atstāj pieredzējuša un tradicionāla izpildītāja iespaidu, kurš ir pielicis ievērojamas pūles, lai mācītos no citiem ļoti progresīviem izpildītājiem, tostarp Duqu, Flame, Equation un Regin, pārņemot dažus to visinovatīvākos paņēmienus un uzlabojot to taktiku, lai paliktu neatklāts.

Galvenās iezīmes

ProjectSauron rīki un paņēmieni, kas izraisa īpašu interesi.

  • Unikālas pēdas: galvenajiem implantiem ir atšķirīgi datņu nosaukumi un apjoms, un tie ir individuāli uzbūvēti katram mērķim, tāpēc tos ir ļoti grūti atklāt, jo uzlaušanas pamatrādītāji ir mazvērtīgi jebkuram citam mērķim.
  • Darbība atmiņā: galvenie implanti izmanto leģitīmas programmatūras atjauninājuma skriptus un darbojas kā sāndurvis, lejupielādējot jaunus moduļus vai izpildot uzbrucēja komandas tikai atmiņā.
  • Orientācija uz šifrētu saziņu: ProjectSauron aktīvi meklē informāciju, kas ir saistīta ar samērā retu, pielāgotu tīkla šifrēšanas programmatūru. Šo klienta–servera programmatūru daudzas mērķa organizācijas plaši izmanto ziņu, balss, e-pasta un dokumentu apmaiņas nodrošināšanai. Uzbrucēji īpaši interesējas par šifrēšanas programmatūras komponentiem, atslēgām, konfigurācijas datnēm un to serveru atrašanās vietu, kas retranslē šifrētos ziņojumus starp mezgliem.
  • Uz skriptiem balstīts elastīgums: ProjectSauron izpildītājs ir ieviesis zema līmeņa rīku kopumu, kas tiek organizēts ar augsta līmeņa Lua skriptiem. Lua komponentu izmantošana ļaunprogrammatūrās ir ļoti reti sastopama — iepriekš konstatēta tikai Flame un Animal Farm uzbrukumos.
  • Fiziskas izolētības apiešana: ProjectSauron izmanto speciāli sagatavotas USB zibatmiņas, lai pārlēktu starp fiziski izolētiem tīkliem. Šajās USB zibatmiņās ir slēpti nodalījumi, kur tiek noglabāti nozagtie dati.

Vairāki eksfiltrācijas mehānismi: datu eksfiltrācijai ProjectSauron izmanto vairākus ceļus, tostarp leģitīmus kanālus, piemēram, e-pastu un DNS, un kopē nozagto informāciju no upura, slēpjot to ikdienas datplūsmā.

Ģeogrāfija / upura profils

Pašlaik ir identificētas vairāk nekā 30 cietušās organizācijas. Lielākā daļa no tām atrodas Krievijā, Irānā un Ruandā un, iespējams, ir skartas arī dažas organizācijas itāliski-runājošo valstu teritorijās.

Mūsu analīze liecina, ka izvēlētajām organizācijām parasti ir būtiska nozīme valsts pakalpojumu sniegšanā, ietverot šādas jomas:

  • valdību,
  • karaspēku,
  • zinātniskās pētniecības centrus,
  • sakaru operatorus,
  • finanšu organizācijas.

Ekspertīze parādīja, ka ProjectSauron darbojas kopš 2011. gada jūnija un ir aktīvs 2016. gadā. Sākotnējās infekcijas vektors, ko ProjectSauron izmanto, lai iekļūtu upuru tīklos, nav zināms.

«Tagad daudzi mērķuzbrukumi ir balstīti uz lētiem, viegli pieejamiem rīkiem. Savukārt ProjectSauron ir viens no tiem, kas izmanto pašgatavotus, uzticamus rīkus un pielāgojamu, skriptētu kodu. Samērā liels jaunums ir unikālo rādītāju, piemēram, vadības servera, šifrēšanas atslēgu un citu, izmantošana tikai vienu reizi apvienojumā ar vismodernākajiem paņēmieniem, kas ir aizgūti no citiem lielākajiem apdraudējumu izpildītājiem. Vienīgais veids, kā atvairīt šādus apdraudējumus, ir ieviest daudzus aizsardzības slāņus, pamatojoties uz sensoru ķēdi, kas pamana pat vismazāko novirzi organizatoriskajā darbplūsmā, un papildināt to ar informētību par apdraudējumiem un ekspertīzi, lai medītu sistemātiskumu pat tad, kad šķiet, ka tāda nav,» sacīja Kaspersky Lab galvenais drošības pētnieks Vitālijs Kamļuks.

Dārdzība, sarežģītība, noturība un galvenais darbības mērķis — slepenas informācijas zagšana no valstiski svarīgām organizācijām — liecina par kādas valsts iesaisti vai atbalstu.

Kaspersky Lab drošības eksperti iesaka organizācijām veikt savu IT tīklu un galiekārtu rūpīgu auditu un īstenot šādus pasākumus.

  • Līdztekus jaunai vai esošajai galiekārtu aizsardzībai ieviest pretmērķuzbrukumu risinājumu. Galiekārtu aizsardzība pati par sevi ir nepietiekama, lai atvairītu nākamās paaudzes apdraudējumu izpildītājus.
  • Izsaukt ekspertus, ja tehnoloģija atzīmē novirzi. Vismodernākie drošības risinājumi spēs pamanīt uzbrukumu pat tā izpildes laikā, un dažkārt drošības speciālisti ir vienīgie, kas var efektīvi bloķēt, mazināt un analizēt lielus uzbrukumus.
  • Papildināt iepriekšminēto ar apdraudējumu informācijas pakalpojumiem: tie iepazīstinās drošības dienestus ar jaunākajām pārmaiņām apdraudējumu vidē, uzbrukumu tendencēm un pazīmēm, kas ir jāmeklē.
  • Daudzi lieli uzbrukumi sākas ar mērķētu pikšķerēšanu vai citu pieeju darbiniekiem, tāpēc ir jāpārliecinās, ka darbinieki saprot un īsteno atbildīgu kiberuzvedību.

Viss pārskats par ProjectSauron jau ir pieejams Kaspersky Lab Sarežģītu mērķuzbrukumu informācijas pārskatu pakalpojuma klientiem. Uzziniet vairāk http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Uzlaušanas indikatori un YARA noteikumi

Visi Kaspersky Lab izstrādājumi konstatē ProjectSauron paraugus kā HEUR:Trojan.Multi.Remsec.gen