ProjectSauron: кибершпионское, взламывающее зашифровані канали зв'язку держорганізацій

ProjectSauron п'ять років маскувався під фільтр паролів для Windows, залишаючись непоміченим

«Лабораторія Касперського» виявила потужний спеціалізований вірус, який працював непоміченим в мережах різних держорганізацій з 2011 року. Дії вірусу були спрямовані на злам зашифрованих каналів зв'язку скомпрометованих систем. Фахівці з інформаційної безпеки визначили наявність цього malware в мережах понад 30 організацій різних країн.

Malware класифікується, як для кібершпіонажу класу APT (Advanced Persistent Threat). Цій класифікації відповідають тільки найбільш складні і тривалі атаки кибершпионского. APT malware є також Equation Regin Duqu, Careto. ProjectSauron (кодова назва Strider) довго залишався непоміченим завдяки тому, що він знаходився в системі в якості виконуваної бібліотеки, завантаженої в пам'ять контролера домену в мережі під управлінням Microsoft Windows.

Скомпрометована система считала бібліотеки фільтром паролів, в результаті чого ProjectSauron отримував доступ до шифрованих даних у відкритому вигляді. Розробником цього, на думку фахівців, виявили його, є невідома кибергруппировка, яка несе відповідальність за атаки на ключові державні підприємства в різних країнах (РФ, Іран, Руанда). На думку експертів, країн та організацій, які постраждали від вірусу, набагато більше, те, що відомо — це тільки вершина айсберга. Основними об'єктами атак стали урядові структури, науково-дослідні центри, центри збройних сил, телекомунікаційні компанії, фінансові організації.

Основні характеристики ProjectSauron:

  • Це не простий вірус, а модульна платформа, яка розроблена для кібершпіонажу;
  • Платформа та її модулі використовують просунуті алгоритми шифрування, включаючи RC6, RC5, RC4, AES, Salsa20;
  • Для платформи розроблено понад 50 модулів-плагінів, що розширюють можливість центрального елемента;
  • Творці ProjectSauron за допомогою цього викрадають ключі шифрування, файли конфігурації і IP-адреси головних серверів мережі, які мають відношення до захисту інформації на підприємстві або в організації;
  • Зловмисники можуть викрадати дані навіть з мереж, не підключених до інтернету. Це робиться за допомогою спеціальних USB-носіїв. Викрадені дані розміщуються в прихованій області, яка недоступна програмним засобам ОС;
  • ProjectSauron працює, принаймні, з 2011 року.
Вірус дуже складно виявити. Справа в тому, що платформа модифікується для кожної нової атаки. Сервера, доменні імена, IP адреси, які прописують зловмисники для кожного екземпляра модифікованої платформи унікальні. Унікальні і плагіни. У них неповторювані назви, розміри файлів та інші характеристики. Тимчасові мітки модулів відповідають характеристикам системи, в якій вірус повинен працювати. Модулі призначені для самих різних цілей, включаючи крадіжку документів, кейлоггінг, крадіжку ключів шифрування.

В мережу організації ProjectSauron впроваджується теж кожен раз по-різному. У ряді випадків зловмисники змінили скрипти, які використовують адміністратори мережі підприємства для оновлення легального ПЗ на комп'ютерах в локальній сітці. Завантажувач ProjectSauron дуже невеликого розміру, при установці на ПК він запускається з правами адміністратора, з'єднується з унікальним IP адресою і завантажує основний елемент. Як вже говорилося вище, для роботи платформи та її модулів використовується велика мережа домену та серверів, причому кожен елемент використовується для певної жертви.

Зараз фахівці з інформаційної безпеки виявили 28 доменів, прив'язаних до 11 IP адресами в США і країнах Європи. Malware володіє розвиненими можливостями мережевої комунікації на основі стека найбільш распространных протоколів ICMP, UDP, TCP, DNS, SMTP і HTTP. Платформа використовує протокол DNS для відправки на віддалений сервер в режимі реального часу даних за поточними операціями.

Для того, щоб ProjectSauron залишався непоміченим тривалий час, його розробники зробили дуже багато. Це, наприклад, використання різних командно-контрольних серверів для різних екземплярів. Унікальні домени і IP-адреси, використання різних криптографічних алгоритмів на різних випадках, робота з звичайними протоколів і форматів повідомлень. Ознак повторного використання домену та серверів немає. Для кожної атакованої мети використовувався унікальний алгоритм, що робило неможливим виявлення інших копій З після виявлення однієї з них за певним індикатором. Єдиний варіант ідентифікації цього ПО — структурні схожості коду.


В першу чергу, зловмисників цікавила інформація, яка відноситься до нестандартного криптографічному. Таке програмне забезпечення зазвичай створюється для організацій, яким необхідно захищати свої канали зв'язку, включаючи спілкування голосом, e-mail, обмін документами. Відомі формати файлів, які найбільше цікавлять творців вірусу. Це *.txt;*.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx;*.vsd;*.wab;*.pdf;*.dst;*.ppk;*.rsa;*.rar;*.one;*.rtf;~WPL*.tmp;*.FTS;*.rpt;*.conf;*.cfg;*.pk2;*.nct;*.key;*.psw. Також їх цікавить інформація наступних типів: .*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*|.*user.*|.*name|.*email|.*_id|id|uid|mn|mailaddress|.*nick.*|alias|codice|uin|sign-in|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Вірус може красти як документи, так і перехоплювати натискання клавіш, шукати і відправляти своїм творцям ключі шифрування зі скомпрометованих систем і підключених до них накопичувачів. Зараз відомо, що ProjectSauron здатний атакувати всі сучасні версії Microsoft Windows. Інші типи цього, призначені для роботи в середовищі інших ОС, поки не виявлені.

ProjectSauron при попаданні в систему розгортає шкідливі модулі всередині каталогу криптографічного програмного забезпечення компанії і маскує власні файли серед вже існуючих. Завантажений вірус залишався в системі в сплячому режимі, чекаючи команди активації. Згодом ProjectSauron займався виявленням ключів шифрування, конфігураційних файлів і url-адрес серверів, які здійснюють шифрування повідомлень між вузлами мережі.

Експерти «Лабораторії Касперського» припускають, що вартість підготовки кибершпионского ЗА такого рівня становить мільйони доларів США. Операція ж подібного рівня може бути реалізована тільки при активній підтримці цілої держави. Найімовірніше, для створення ProjectSauron залучалися різні групи фахівців.

Зараз З «Лабораторії Касперського» вміє визначати ознаки наявності в системі ProjectSauron, з детектуванням зразків цього malware як ProjectSauron як HEUR:Trojan.Multi.Remsec.gen.

Повний звіт щодо аналізу вірусу і його роботи доступний з цим посиланням (.pdf).
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.