Speciální platforma Kaspersky Lab zaznamenala v září 2015 neobvyklý doplněk v síti jednoho ze svých klientů. Anomálie experty přivedly až k hrozbě národního měřítka „ProjectSauron“, která napadá státní organizace. Pro každou oběť používá unikátní nástroje, kvůli kterým je téměř nemožné rozpoznat hrozbu pomocí klasických ukazatelů. Hlavním důvodem útoků tohoto typu je pravděpodobně kybernetická špionáž. (TZ)
ProjectSauron se zajímá převážně o získání přístupu k zašifrované komunikaci. K jejímu získání používá pokročilou modulovou kyberšpionážní platformu, která zahrnuje i řadu unikátních nástrojů a technik. Nejvýznamnější složkou hrozby ProjectSauron je záměrné vyhýbání se vzorcům. ProjectSauron přizpůsobuje útok a infrastrukturu individuálně každému cíli a nikdy je nepoužije více než jednou. Tento přístup společně s několika způsoby, jakými mohou ukradená data uniknout (například klasickými e-mailovými kanály nebo pomocí systému DNS), hrozbě umožňují v síti vybraného cíle provést dlouhotrvající tajnou sledovací kampaň.
ProjectSauron vyvolává dojem zkušeného a tradičního hráče, který čerpá od jiných, jako Duqu, Flame, Equation a Regin. Aby ho nebylo možné odhalit, osvojil si ProjectSauron některé z jejich nejinovativnějších technik a jejich taktiku ještě vylepšil.
Hlavní vlastnosti hrozby ProjectSauron jsou:
- Jedinečná stopa: Stěžejní implantáty, které mají různé názvy souborů a velikosti, a jsou sestaveny individuálně pro každý cíl. To velmi ztěžuje odhalení hrozby, protože stejné indikátory napadení jsou pro ostatní cíle téměř bezvýznamné.
- Fungování v paměti: Stěžejní implantáty využívají legitimních skriptů pro aktualizaci softwaru a fungují jako „backdoor“. Ten stahuje nové moduly nebo spouští příkazy od útočníka pouze v paměti.
- Napadání crypto-komunikace: ProjectSauron aktivně vyhledává informace související s poměrně vzácným šifrovacím softwarem. Tento software typu klient – server je široce rozšířen v mnoha organizacích, na které hrozba cílí. Jeho úkolem je zabezpečení komunikace, a to hlasové, e-mailové nebo pomocí dokumentů. Útočníci se zajímají především o komponenty šifrovacího softwaru, klíče, konfigurační soubory a umístění serverů, které přenáší zašifrované zprávy mezi jednotlivými uzly.
- Flexibilita založená na skriptech: ProjectSauron obsahuje několik nástrojů na nízké úrovni řízených skripty LUA na vysoké úrovni. Použití komponentů LUA v malwaru není zcela běžné. V minulosti se je podařilo odhalit pouze u útoků Flame a Animal Farm.
- Vynechání „vzduchových mezer“ (air-gaps): ProjectSauron využívá speciálně upravených USB disků, aby se vyhnul sítím se „vzduchovými mezerami“. Tyto disky jsou nosiči skrytých oddělení, ve kterých jsou ukrytá ukradená data.
- Několikanásobný únikový mechanizmus: ProjectSauron vytváří několik možností, jak mohou data uniknout, například klasickými kanály jako e-mail nebo systém DNS. Ukradené informace oběti zkopíruje a skryje v každodenním provozu.
Terčem hrozby se pravděpodobně stalo mnoho organizací a států. V současnosti experti evidují více než 30 napadených organizací převážně v Rusku, Iránu, Rwandě a italsky mluvících zemích.
Z analýzy společnosti Kaspersky Lab vyplývá, že organizace, které jsou cílem tohoto typu útoku, jsou většinou klíčovými poskytovateli státních služeb. Paří mezi ně vláda, armáda, vědecká výzkumná centra, telefonní operátoři nebo finanční organizace. Forenzní analýza naznačuje, že ProjectSauron funguje od června 2011 a v roce 2016 je stále aktivní. Základní vektor, který hrozba používá, aby se nabourala do sítě oběti, není dosud znám.
„Jediná možnost, jak se tomuto typu napadení bránit, je mít několikavrstvé zabezpečení založené na řetězci senzorů, které monitorují i tu nejmenší anomálii pracovních postupů v organizaci. Zabezpečení by mělo být ještě podpořeno informacemi o hrozbách a forenzní analýzou. Ty by měly najít schéma hrozby i v případě, že se zdá, že žádné neexistuje,“ řekl Vitaly Kamluk, hlavní výzkumník bezpečnosti ve společnosti Kaspersky Lab.
Bezpečnostní experti společnosti Kaspersky Lab radí organizacím provést komplexní audit svých IT sítí a koncových bodů a zavést následující opatření:
- Vedle nové nebo již existující ochrany koncových bodů zavést řešení proti cíleným útokům. Samotná ochrana koncových bodů nezvládne odolat budoucí generaci hrozeb.
- Přizvat si na pomoc experty, kteří pomohou zjistit, zda současná technologie dokáže zachytit anomálie. Nejvyspělejší bezpečnostní řešení budou schopna zachytit útok okamžitě. Bezpečnostní odborníci pak někdy bývají jediní, kdo dokáže efektivně zablokovat, zmírnit a analyzovat závažné útoky.
- Nahradit předchozí body službami „threat intelligence“. Ty zajistí, že bezpečnostní týmy budou informovány o nejnovějším vývoji v oblasti hrozeb, trendů a ukazatelů, na které je nutné se zaměřit.
- Protože mnoho závažných útoků začíná „spear-phishingem“ nebo jiným útokem na zaměstnance, měly by se společnosti ujistit, že jejich pracovníci rozumí tomu, jak se na síti chovat zodpovědně a že tato opatření praktikují.
Celá zpráva o hrozbě ProjectSauron je přístupná zákazníkům Kaspersky Lab APT Intelligence. O službě se více dozvíte zde.
Dostupné jsou indikátory napadení i pravidla YARA.
Všechny produkty Kaspersky Lab zachytávají ProjectSauron jako HEUR:Trojan.Multi.Remsec.gen.
Více o hrozbě ProjectSauron se dozvíte zde.
Více o produktech Kaspersky Lab, které dokáží uživatele ochránit před touto hrozbou, se dozvíte zde.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a funguje již od roku 1997. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb k ochraně podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.