We wrześniu 2015 r. rozwiązanie Kaspersky Lab Anti-Targeted Attack Platform wykryło nietypową aktywność w sieci jednego z klientów firmy. Anomalia ta doprowadziła ekspertów z Kaspersky Lab do wykrycia „ProjectSauron” – kampanii cyberprzestępczej, której celem są organizacje rządowe. Atakujący wykorzystują unikatowy zestaw narzędzi dla każdej z ofiar, w wyniku czego szkodliwe działania są bardzo trudne do wykrycia. Nadrzędnym celem atakujących jest najprawdopodobniej cyberszpiegostwo.
Grupa ProjectSauron jest szczególnie zainteresowana uzyskiwaniem dostępu do zaszyfrowanych kanałów komunikacji, śledząc je z użyciem zaawansowanej platformy cyberszpiegowskiej, która wykorzystuje zestaw unikatowych narzędzi i technik. Najistotniejszym elementem taktyki grupy ProjectSauron jest umyślne unikanie powtarzania się: atakujący dostosowują szkodliwe narzędzia i infrastrukturę dla każdego z celów i nigdy nie używają ponownie tych samych metod. Takie podejście, uzupełnione o różne metody wyprowadzania skradzionych danych, pozwala ugrupowaniu prowadzić potajemne, długotrwałe kampanie szpiegowskie w sieciach ofiar.
Osoby stojące za kampanią ProjectSauron sprawiają wrażenie doświadczonych ekspertów, którzy czerpią wiedzę od innych zaawansowanych ugrupowań, takich jak Duqu, Flame, Equation oraz Regin, adaptując cześć ich najbardziej innowacyjnych technik i udoskonalając je, a wszystko w jednym celu – by jak najdłużej działać w sieciach ofiar bez wykrycia.
Najważniejsze funkcje
Do najistotniejszych narzędzi i technik wykorzystywanych przez ugrupowanie ProjectSauron należą:
- Unikatowe podejście do każdej ofiary. Najważniejsze szkodliwe moduły posiadają różne rozmiary oraz nazwy i są przygotowywane indywidualnie dla każdej ofiary, co sprawia, że działania grupy są bardzo trudne do wykrycia. Symptomy infekcji zaobserwowane u danej ofiary są niemal całkowicie bezużyteczne w przypadku pozostałych ofiar.
- Działanie wyłącznie w pamięci. Szkodliwe narzędzia wykorzystują legalne skrypty aktualizacji i pozwalają na pobieranie dalszych modułów lub wykonywanie poleceń cyberprzestępców, funkcjonując wyłącznie w pamięci atakowanego komputera.
- Nastawienie na zaszyfrowane kanały komunikacji. ProjectSauron aktywnie szuka informacji związanych z rzadko występującym, personalizowanym oprogramowaniem wykorzystywanym do szyfrowania komunikacji sieciowej. To oprogramowanie klient-serwer jest stosowane do zabezpieczania komunikacji, połączeń głosowych, korespondencji e-mai i wymiany dokumentów. Atakujący są szczególnie zainteresowani komponentami oprogramowania szyfrującego, kluczami, plikami konfiguracyjnymi oraz lokalizacją serwerów, które przekazują zaszyfrowane informacje między węzłami.
- Możliwość dostosowywania szkodliwej funkcjonalności przy użyciu skryptów. Ugrupowanie ProjectSauron stosuje zestaw narzędzi przygotowanych z użyciem języka skryptowego Lua. Język ten jest niezmiernie rzadko stosowany w świecie cyberprzestępczym – wcześniej został zidentyfikowany tylko w kampaniach Flame oraz Animal Farm.
- Przenikanie do sieci odizolowanych od internetu. ProjectSauron korzysta ze specjalnie przygotowanych nośników USB do infekowania sieci, które nie mają połączenia z internetem. Nośniki te zawierają ukryte sekcje, w których zapisywane są skradzione dane.
- Wiele mechanizmów wyprowadzania danych. Atakujący stosują szereg metod pozyskiwania skradzionych danych, łączne z legalnymi kanałami, takimi jak e-mail – w tym przypadku wyprowadzane dane są ukrywane w codziennym ruchu.
Geografia/profil ofiar
Na chwilę obecną zidentyfikowano ponad trzydzieści ofiar, z których większość zlokalizowana jest w Rosji, Iranie, Rwandzie oraz w krajach, w których korzysta się z języka włoskiego. Na celowniku atakujących może być więcej organizacji z innych części świata.
W oparciu o własne badania eksperci z Kaspersky Lab ustalili, że organizacje znajdujące się na celowniku omawianej grupy odgrywają kluczową rolę w funkcjonowaniu struktur państwowych i obejmują:
- rząd,
- wojsko,
- centra naukowe i badawcze,
- operatorów telekomunikacyjnych,
- organizacje finansowe.
Analiza kryminalistyczna wykazała, że grupa ProjectSauron działa od czerwca 2011 r. i ciągle jest aktywna. Metoda wykorzystywana przez atakujących do wstępnej infekcji ofiar pozostaje nieznana.
– Coraz więcej ataków ukierunkowanych działa w oparciu o tanie i ogólnodostępne narzędzia. W przeciwieństwie do nich ProjectSauron korzysta z własnych, precyzyjnie przygotowanych mechanizmów i zaawansowanych skryptów. Mamy do czynienia z czymś zupełnie nowym – świadczy o tym fakt pojedynczego wykorzystywania poszczególnych elementów, takich jak serwery kontroli czy klucze szyfrujące, w połączeniu z czerpaniem z technologii od innych, zaawansowanych grup cyberprzestępczych. Wykrywanie tak skomplikowanych ataków jest możliwe wyłącznie z użyciem wielu warstw ochrony, działającej w oparciu o czujniki monitorujące nawet najmniejsze anomalie w funkcjonowaniu sieci, wspartej ekspercką wiedzą o cyberzagrożeniach oraz analizą kryminalistyczną – powiedział Witalij Kamliuk, główny badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Koszt, złożoność oraz cel operacji – kradzież poufnych i tajnych informacji z organizacji kluczowych dla funkcjonowania struktur państwowych – sugeruje zaangażowanie lub wsparcie ze strony rządu.
Eksperci z Kaspersky Lab zalecają organizacjom przeprowadzenie wnikliwego audytu swoich sieci komputerowych oraz punktów końcowych, a także następujące środki zapobiegawcze:
- Zastosowanie rozwiązania do walki z atakami ukierunkowanymi wraz z ochroną punktów końcowych. Co ważne, ochrona punktów końcowych nie jest w stanie stawić czoła grupom cyberprzestępczym nowej generacji.
- Zwrócenie się do ekspertów, gdy rozwiązania bezpieczeństwa wykryją anomalie. Najbardziej zaawansowane rozwiązania ochrony są w stanie wykryć atak, jednak to specjaliści z dziedziny bezpieczeństwa IT często jako jedyni mogą skutecznie zatrzymać atak, złagodzić jego skutki i przeanalizować ślady pozostawione przez cyberprzestępców.
- Uzupełnienie powyższych metod bezpieczeństwa źródłami danych o cyberzagrożeniach. Dzięki temu zespoły ds. bezpieczeństwa będą na bieżąco informowane o zmianach w krajobrazie zagrożeń, trendach wśród atakujących oraz oznakach szkodliwych działań, na które należy zwrócić uwagę.
- Ze względu na to, że większość dużych ataków rozpoczyna się od odpowiednio przygotowanych, phishingowych wiadomości e-mail wysyłanych do pracowników, konieczne jest przeszkolenie personelu celem przekazania informacji o odpowiedzialnym i bezpiecznym zachowaniu w sieci firmowej oraz internecie.