Špionážna platforma ProjectSauron sa tajne zmocnila šifrovanej vládnej komunikácie

V septembri 2015 zaznamenala špeciálna platforma spoločnosti Kaspersky Lab (Anti-Targeted Attack Platform) nezvyčajný doplnok v sieti jedného zo svojich klientov. Táto anomália priviedla expertov až ku hrozbe „ProjectSauron“, ktorá sa zameriava prevažne na štátne inštitúcie. Na každú obeť útočí pomocou unikátnej sady nástrojov, čo často znemožňuje takmer všetky tradičné pokusy o rozpoznanie hrozby. Podľa všetkého je cieľom týchto útokov kybernetická špionáž.

ProjectSauron sa zaujíma predovšetkým o získanie prístupu k šifrovanej komunikácii. Využíva na to pokročilú a vysoko flexibilnú kyberšpionážnu platformu, ktorá pozostáva z unikátnych nástrojov a techník. Najpozoruhodnejšou črtou platformy ProjectSauron je zámerné vyhýbanie sa známym vzorcom. Svoje implantáty a infraštruktúru prispôsobuje každému klientovi individuálne a nikdy sa nevracia k už použitej verzii. Práve tento prístup v kombinácii s ďalšími spôsobmi získavania dát (akými sú legitímne využívané e-mailové alebo DNS kanály), umožňuje hrozbe ProjectSauron vykonávať v sieti obete tajnú a dlhodobú špionážnu kampaň.

ProjectSauron sa navonok javí ako skúsený hráč, ktorý sa učí od iných, obzvlášť pokročilých hráčov, akými sú Duqu, Flame, Equation či Regin. Osvojuje si niektoré z ich najinovatívnejších techník a vylepšuje ich taktiky tak, aby ho nebolo možné odhaliť.

Základné vlastnosti hrozby ProjectSauron:

• Unikátna stopa: Základné implantáty, ktorých súbory majú rôzne názvy a veľkosti, sú  špeciálne upravované pre každý individuálny cieľ. Tým vo veľkej miere sťažujú ich detekciu, keďže sa hlavné indikátory napadnutia líšia od prípadu k prípadu a sú tak pre ostatné ciele bezvýznamné.
• Fungovanie v pamäti: Pre aktualizáciu softvéru využívajú implantáty legitímne skripty a fungujú ako „backdoor“. Ten sťahuje nové moduly alebo spúšťa príkazy zadané útočníkom výlučne v pamäti.
• Záujem o šifrovanú komunikáciu: ProjectSauron aktívne vyhľadáva informácie súvisiace s pomerne vzácnym šifrovacím softvérom. Tento tzv. klient-server softvér je pomerne dosť rozšírený v mnohých organizáciách, ktoré si táto hrozba vyberá za svoje ciele. Jeho úlohou je zabezpečenie komunikácie, vrátane hlasovej, e-mailovej alebo dokumentovej výmeny. Útočníci sa zaujímajú predovšetkým o komponenty šifrovacieho softvéru, kľúče, konfiguračné súbory a umiestnenia serverov, ktoré prenášajú zašifrované správy medzi jednotlivými uzlami.
• Flexibilita založená na skriptoch: ProjectSauron využíva sadu pomerne jednoduchých nástrojov, ktoré sú ale ovládané vyspelými LUA skriptami. V prípade malvérov je používanie LUA komponentov veľmi zriedkavé, v minulosti sme sa s nimi stretli len v prípade útokov hrozieb známych ako Flame alebo AnimalFarm.
• Vyhýbanie sa tzv. „vzduchovým medzerám“ (air-gaps): ProjectSauron využíva špeciálne upravené USB disky, aby sa vyhol sieťam so „vzduchovými medzerami“ (tzv. air-gappovým sieťam). Tieto disky obsahujú skryté úložiská, do ktorých sú potom prenášané kradnuté dáta. 
• Viacnásobný mechanizmus exfiltrácie (úniku dát): ProjectSauron používa niekoľko spôsobov a ciest, ako exfiltrovať resp. vytiahnuť dáta so systému, vrátane tých klasických kanálov, akými sú napr. e-mailová komunikácia alebo systém DNS. Tie im napomáhajú ukryť a zamaskovať ukradnuté dáta obete v jeho dennej prevádzke. 

Geografický a typový profil obete

K dnešnému dňu sa podarilo identifikovať vyše 30 napadnutých organizácií. Väčšina z nich pochádza z Ruska, Iránu a Rwandy. Možné stopy vedú aj do krajín, kde sa používa taliančina. Predpokladá sa však, že napadnutých organizácií je oveľa viac a je dosť možné, že táto hrozba prenikla aj do iných štátov.

Z analýzy spoločnosti Kaspersky Lab sa podarilo zistiť, že organizácie, ktoré sú cieľom tohto typu útokov, patria k významným poskytovateľom štátnych služieb, ide najmä o tieto zložky: 

• vláda
• armáda
• vedecko-výskumné centrá
• telekomunikační operátori
• finančná správa

Forenzná  analýza ukazuje, že ProjectSauron funguje od júna 2011 a je stále aktívny. Základný vektor, ktorý ProjectSauron používa na preniknutie do siete obete, sa žiaľ ešte nepodarilo odhaliť.

„Množstvo cielených útokov sa dnes spolieha na lacné a ľahko dostupné nástroje. ProjectSauron je v tomto úplne iný. V jeho prípade ide o využitie „podomácky“ vyrobených a spoľahlivých nástrojov, ktoré je možné prispôsobiť skriptovým kódom. Použitie unikátnych indikátorov (akými je napr. kontrolný server, šifrovacie kľúče či iné) v spojení so špičkovými technikami prebratými od iných veľkých hrozieb, robí z ProjectSauronu výnimočného hráča, s ktorým sme sa doteraz ešte nestretli. Jediný spôsob, ako odolať tejto hrozbe nateraz, je používanie viacvrstvovej ochrany, ktorej základ tvorí reťazec monitorovacích senzorov. Je dôležité, aby pozorne zmonitorovali čo i len nepatrnú anomáliu v prevádzkovom systéme organizácie a nechali ju okamžite preveriť bezpečnostným systémom. Ten následne posúdi, či ide o hrozbu a zároveň vykoná forenznú analýzu. Len tak je možné získať vzory na miestach, ktoré sa často javia ako bezpečné,” vyjadril sa Vitaly Kamluk, vedúci bezpečnostný analytik v spoločnosti Kaspersky Lab.

Náklady, zložitosť, vytrvalosť operácie, ako aj  hlavný cieľ hrozby ProjectSauron – ukradnúť prísne tajné informácie zo štátnych alebo štátu podliehajúcich organizácií – si vyžadujú zapojenie alebo prinajmenšom podporu zo strany štátu.

Bezpečnostní experti spoločnosti Kaspersky Lab odporúčajú organizáciám uskutočniť komplexný audit IT sietí a koncových bodov a zaviesť tieto opatrenia:

• K existujúcej ochrane koncových bodov pridať tzv. anti-targeted attack riešenie (ochrana proti cieleným útokom). Samotná ochrana koncových bodov žiaľ nestačí na to, aby dokázala odolať novej generácii hrozieb.  
• V prípade, že je v systéme zaznamenaná anomália, treba okamžite privolať experta. Väčšina pokročilých bezpečnostných riešení je schopná zaznamenať útok hneď, ako sa udeje. Bezpečnostný expert je ale často jediný, kto ju dokáže efektívne zablokovať, zmierniť a zanalyzovať veľké útoky.  
• Využívať služby výskumu a sledovania hrozieb: bezpečnostný tím tak získa informácie o aktuálnom vývoji v oblasti hrozieb, trendoch v útokoch či informácie o prvkoch a príznakoch, na ktoré si treba dávať pozor.
• Vzhľadom na to, že väčšina veľkých útokov sa začína ako klasická phishingová alebo iná škodlivá aktivita namierená na zamestnancov, je dôležité zabezpečiť, aby boli dostatočne kyberneticky znalí a zodpovední.

Správa o hrozbe ProjectSauron v plnom znení bude dostupná pre všetkých, ktorí využívajú službu sledovania APT hrozieb (Kaspersky Lab APT Intelligence reporting service). Viac informácií o službe nájdete na: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Dostupné sú aj indikátory napadnutia a pravidlá YARA.

Všetky produkty Kaspersky Lab zachytávajú ProjectSauron ako HEUR:Trojan.Multi.Remsec.gen.

Viac sa o hrozbe ProjectSauron dočítate aj v expertnom blogu na Securelist.com    

Dostupné sú aj  informácie o produktoch Kaspersky Lab, ktoré dokážu používateľov ochrániť pred touto hrozbou. 

Zdroj tlačovej správy: Kaspersky Lab, Grayling