Image
12.8.2016 0 Comments

Špionážna platforma ProjectSauron sa tajne zmocnila šifrovanej vládnej komunikácie

V septembri 2015 zaznamenala špeciálna platforma Anti-Targeted Attack Platform nezvyčajný doplnok v sieti jedného zo svojich klientov. Táto anomália priviedla expertov až k hrozbe ProjectSauron, ktorá sa zameriava prevažne na štátne inštitúcie. Na každú obeť útočí pomocou unikátnej súpravy nástrojov, čo často znemožňuje takmer všetky  tradičné pokusy o rozpoznanie hrozby. Podľa všetkého je cieľom týchto útokov kybernetická špionáž. 

ProjectSauron sa zaujíma predovšetkým o získanie prístupu k šifrovanej komunikácii. Využíva na to pokročilú a vysoko flexibilnú kyberšpionážnu platformu, ktorá pozostáva z unikátnych nástrojov a techník. Najpozoruhodnejšia črta platformy ProjectSauron je zámerné vyhýbanie sa známym vzorcom. Svoje implantáty a infraštruktúru prispôsobuje každému klientovi individuálne a nikdy sa nevracia k už použitej verzii. Práve tento prístup v kombinácii s ďalšími spôsobmi získavania dát (ako sú legitímne využívané e-mailové alebo DNS kanály) umožňuje hrozbe ProjectSauron vykonávať v sieti obete tajnú a dlhodobú špionážnu kampaň.

ProjectSauron sa navonok javí ako skúsený hráč, ktorý sa učí od iných, obzvlášť pokročilých hráčov, ako sú Duqu, Flame, Equation či Regin. Osvojuje si niektoré z ich najinovatívnejších techník a zlepšuje ich taktiky tak, aby ho nebolo možné odhaliť.

Základné vlastnosti hrozby ProjectSauron:

  • Unikátna stopa: Základné implantáty, ktorých súbory majú rôzne názvy a veľkosti, sú  špeciálne upravované pre každý individuálny cieľ. Tým vo veľkej miere sťažujú ich detekciu, keďže sa hlavné indikátory napadnutia líšia od prípadu k prípadu a sú tak pre ostatné ciele bezvýznamné.
  • Fungovanie v pamäti: Na aktualizáciu softvéru využívajú implantáty legitímne skripty a fungujú ako „backdoor“. Ten sťahuje nové moduly alebo spúšťa príkazy zadané útočníkom výlučne v pamäti.
  • Záujem o šifrovanú komunikáciu: ProjectSauron aktívne vyhľadáva informácie súvisiace s pomerne vzácnym šifrovacím softvérom. Tento tzv. klient-server softvér je pomerne rozšírený v mnohých organizáciách, ktoré si táto hrozba vyberá za svoje ciele. Jeho úloha je zabezpečiť komunikáciu vrátane hlasovej, e-mailovej alebo dokumentovej výmeny. Útočníci sa zaujímajú predovšetkým o komponenty šifrovacieho softvéru, kľúče, konfiguračné súbory a umiestnenia serverov, ktoré prenášajú zašifrované správy medzi jednotlivými uzlami.
  • Flexibilita založená na skriptoch: ProjectSauron využíva súpravu pomerne jednoduchých nástrojov, ktoré sú však ovládané vyspelými skriptmi LUA. V prípade malvérov je používanie komponentov LUA veľmi zriedkavé, v minulosti sme sa s nimi stretli len v prípade útokov hrozieb známych ako Flame alebo AnimalFarm.
  • Vyhýbanie sa tzv. vzduchovým medzerám (air-gaps): ProjectSauron využíva špeciálne upravené disky USB, aby sa vyhol sieťam so „vzduchovými medzerami“ (tzv. airgapovým sieťam). Tieto disky obsahujú skryté úložiská, do ktorých sú potom prenášané kradnuté dáta. 
  • Viacnásobný mechanizmus exfiltrácie (úniku dát): ProjectSauron používa niekoľko spôsobov a ciest, ako exfiltrovať, resp. vytiahnuť dáta zo systému, vrátane klasických kanálov, ako je napr. e-mailová komunikácia alebo systém DNS. Tie im pomáhajú ukryť a zamaskovať ukradnuté dáta obete v jeho dennej prevádzke. 

Geografický a typový profil obete

Do dnešného dňa sa podarilo identifikovať vyše 30 napadnutých organizácií. Väčšina z nich pochádza z Ruska, Iránu a Rwandy. Možné stopy vedú aj do krajín, kde sa používa taliančina. Predpokladá sa však, že napadnutých organizácií je oveľa viac a je dosť možné, že táto hrozba prenikla aj do iných štátov.

Z analýzy spoločnosti Kaspersky Lab sa podarilo zistiť, že organizácie, ktoré sú cieľom tohto typu útokov, patria k významným poskytovateľom štátnych služieb, ide najmä o tieto zložky: 

  • vláda
  • armáda
  • vedecko-výskumné centrá
  • telekomunikační operátori
  • finančná správa

Forenzná  analýza ukazuje, že ProjectSauron funguje od júna 2011 a je stále aktívny. Základný vektor, ktorý ProjectSauron používa na preniknutie do siete obete, sa, žiaľ, ešte nepodarilo odhaliť.
Náklady, zložitosť, vytrvalosť operácie, ako aj hlavný cieľ hrozby ProjectSauron – ukradnúť prísne tajné informácie zo štátnych alebo štátu podliehajúcich organizácií – si vyžadujú zapojenie alebo prinajmenšom podporu zo strany štátu.

Bezpečnostní experti odporúčajú organizáciám uskutočniť komplexný audit IT sietí a koncových bodov a zaviesť tieto opatrenia:

  • K existujúcej ochrane koncových bodov pridať tzv. riešenie anti-targeted attack (ochrana proti cieleným útokom). Samotná ochrana koncových bodov, žiaľ, nestačí na to, aby dokázala odolať novej generácii hrozieb.  
  • V prípade, že je v systéme zaznamenaná anomália, treba okamžite privolať experta. Väčšina pokročilých bezpečnostných riešení je schopná zaznamenať útok hneď, ako sa udeje. Bezpečnostný expert je však často jediný, kto ju dokáže efektívne zablokovať, zmierniť a zanalyzovať veľké útoky.  
  • Využívať služby výskumu a sledovania hrozieb: bezpečnostný tím tak získa informácie o aktuálnom vývoji v oblasti hrozieb, trendoch v útokoch či informácie o prvkoch a príznakoch, na ktoré si treba dávať pozor.
  • Vzhľadom na to, že väčšina veľkých útokov sa začína ako klasická phishingová alebo iná škodlivá aktivita namierená na zamestnancov, je dôležité zabezpečiť, aby boli dostatočne kyberneticky znalí a zodpovední.

 

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá