Τον Σεπτέμβριο του 2015, η πλατφόρμα Anti-Targeted Attack…
της Kaspersky Lab επισήμανε ένα ασυνήθιστο χαρακτηριστικό στο δίκτυο ενός οργανισμού η οποία οδήγησε τους ερευνητές στην αποκάλυψη του “ProjectSauron”, ενός απειλητικού φορέα με εθνική/κρατική υποστήριξη με σκοπό την ψηφιακή κατασκοπεία.

Το ProjectSauron εστιάζει στην απόκτηση πρόσβασης σε κρυπτογραφημένες επικοινωνίες, χρησιμοποιώντας μία προηγμένη αρθρωτή πλατφόρμα ψηφιακής κατασκοπείας, η οποία ενσωματώνει μια σειρά από μοναδικά εργαλεία και τεχνικές. Το πιο αξιοσημείωτο χαρακτηριστικό του ProjectSauron είναι η εσκεμμένη αποφυγή προτύπων συμπεριφοράς, που θα μπορούσαν να το προδώσουν, προσαρμόζοντας τα κακόβουλα «εμφυτεύματα» και την υποδομή του για κάθε επιμέρους στόχο. Το ProjectSauron είναι ικανό να διεξάγει μυστικές, μακροπρόθεσμες εκστρατείες κατασκοπείας σε δίκτυα-στόχους.

Βασικά χαρακτηριστικά

Τα εργαλεία και οι τεχνικές του ProjectSauron που παρουσιάζουν ιδιαίτερο ενδιαφέρον είναι οι εξής:

Μοναδικό αποτύπωμα: Τα βασικά του εμφυτεύματα έχουν διαφορετικά ονόματα και μεγέθη αρχείων και είναι ξεχωριστά φτιαγμένα για κάθε στόχο.

Χρήση της μνήμης: Τα βασικά εμφυτεύματα αξιοποιούν ως backdoors μη κακόβουλα scripts που χρησιμοποιούνται για ενημερώσεις λογισμικού, κατεβάζοντας νέες ενότητες ή «τρέχοντας» εντολές από τον εισβολέα καθαρά στη μνήμη ενός συστήματος.

Κλίση προς τις κρυπτογραφημένες επικοινωνίες: Το ProjectSauron αναζητά ενεργά πληροφορίες που σχετίζονται με αρκετά σπάνιο και προσαρμοσμένο λογισμικό κρυπτογράφησης δικτύου. Οι επιτιθέμενοι ενδιαφέρονται ιδιαίτερα για την κρυπτογράφηση συστατικών στοιχείων του λογισμικού, κλειδιά, αρχεία ρυθμίσεων και τη θέση των servers που αναμεταδίδουν κρυπτογραφημένα μηνύματα ανάμεσα στους κόμβους ενός δικτύου.

Ευελιξία που βασίζεται στη χρήση script: Ο φορέας ProjectSauron έχει θέσει σε εφαρμογή μια σειρά από εργαλεία χαμηλού επιπέδου, που έχουν ενορχηστρωθεί από υψηλού επιπέδου scripts LUA. Η χρήση των στοιχείων LUA σε κακόβουλο λογισμικό είναι πολύ σπάνια.

Παράκαμψη λύσεων απομόνωσης δικτύων: Το ProjectSauron κάνει χρήση ειδικά προετοιμασμένων μονάδων USB, ώστε να διαπερνά απομονωμένα δίκτυα. Αυτές οι μονάδες USB κρύβουν τα τμήματα στα οποία είναι κρυμμένα τα κλεμμένα δεδομένα.

Πολλαπλοί μηχανισμοί εκδιήθησης δεδομένων: Το ProjectSauron υλοποιεί μια σειρά από διαδρομές για να συλλέξει δεδομένα, συμπεριλαμβανομένων νόμιμων καναλιών, όπως emailκ αι DNS Έτσι, οι κλεμμένες πληροφορίες που έχουν αντιγραφεί από το θύμα, «μεταμφιέζονται» στην καθημερινή ροή εργασιών.

Γεωγραφική εξάπλωση και προφίλ θυμάτων

Μέχρι σήμερα, πάνω από 30 οργανισμοί-θύματα έχουν εντοπιστεί στη Ρωσία, το Ιράν και τη Ρουάντα, και ενδέχεται να υπάρχουν θύματα και σε κάποιες ιταλόφωνες χώρες. Η Kaspersky Lab πιστεύει ότι πολλοί περισσότεροι οργανισμοί και γεωγραφικές περιοχές είναι πιθανό να επηρεαστούν.

Με βάση την ανάλυση της Kaspersky Lab, οι οργανισμοί-στόχοι γενικά διαδραματίζουν καίριο ρόλο στην παροχή κρατικών υπηρεσιών και περιλαμβάνουν:

Κυβερνητικούς φορείς

Στρατιωτικούς οργανισμούς

Κέντρα Επιστημονικής Έρευνας

Παρόχους τηλεπικοινωνιών

Χρηματοοικονομικούς οργανισμούς

Η ψηφιακή εγκληματολογική ανάλυση δείχνει ότι το ProjectSauron έχει αρχίσει να λειτουργεί από τον Ιούνιο του 2011 και παραμένει ενεργό το 2016. Άγνωστο παραμένει το αρχικό μέσο«μόλυνσης» που χρησιμοποιήθηκε ώστε το ProjectSauron να διεισδύσει στα δίκτυα των θυμάτων του.

Κρίνοντας από το κόστος, την πολυπλοκότητα, την επιμονή και τον απώτερο στόχο της επιχείρησης, δηλαδή την υποκλοπή εμπιστευτικών και απόρρητων πληροφοριών από ευαίσθητους κρατικούς οργανισμούς, εκτιμάται ότι πίσω από το ProjectSauron κρύβεται κάποιος κρατικός φορέας.

Οι ειδικοί ασφάλειας της Kaspersky Lab συνιστούν στους οργανισμούς να προβούν σε ενδελεχή έλεγχο των δικτύων πληροφορικής και των τερματικών τους, καθώς και να εφαρμόσουν τα ακόλουθα μέτρα:

Να εισάγουν μία λύση anti-targeted attack, η οποία θα λειτουργεί μαζί με μια νέα ή υφιστάμενη λύση προστασίας τερματικών. Από μόνη της, μια λύση για την προστασία των τερματικών δεν είναι αρκετή για να αντέξει τη νέα γενιά των απειλητικών φορέων.

Να απευθυνθούν σε ειδικούς, αν εντοπιστεί η οποιαδήποτε ανωμαλία στην τεχνολογική τους υποδομή. Οι πιο προηγμένες λύσεις ασφάλειας θα είναι σε θέση να εντοπίζουν μια επίθεση, ακόμη και τη στιγμή που γίνεται, οι επαγγελματίες της ασφάλειας είναι μερικές φορές οι μόνοι που μπορούν αποτελεσματικά να εμποδίσουν, να αμβλύνουν και να αναλύσουν μεγάλες επιθέσεις.

Να συμπληρώνουν τα παραπάνω μέτρα με υπηρεσίες πληροφόρησης σε σχέση με τις απειλές. Έτσι, τα στελέχη των οργανισμών που έχουν την ευθύνη για την ψηφιακή ασφάλειας θα είναι πλήρως ενημερωμένα για τις τελευταίες εξελίξεις στο τοπίο των απειλών, τις τάσεις στον τομέα των ψηφιακών επιθέσεων και τα σημάδια που πρέπει να προσεχθούν.

Δεδομένου ότι πολλές μεγάλες επιθέσεις ξεκινούν μέσω ενεργειών spear-phishing ή κάποιας άλλης προσέγγισης προς τους εργαζομένους, οι οργανισμοί οφείλουν να βεβαιωθούν ότι το προσωπικό τους κατανοεί και υιοθετεί υπεύθυνες ψηφιακές συμπεριφορές.