ИССЛЕДОВАТЕЛИ ОБНАРУЖИЛИ ХАК-ГРУППУ PROJECTSAURON, СКРЫВАВШУЮСЯ В ТЕНИ БОЛЕЕ 5 ЛЕТ

Печать: Шрифт: Абв Абв Абв
admin 13 Августа 2016 в 00:51:27
Исследователи «Лаборатории Касперского» рассказали об обнаружении ProjectSauron: наисложнейшей модульной платформы для кибершпионажа, использующей продвинутые методы сокрытия своего присутствия и извлечения собранных данных. По данным специалистов, одноименная группировка хакеров действует с 2011 года.

«Лаборатория Касперского» сообщает, что ProjectSauron (также известная под именами Strider или Remsec, как ее назвали исследователи Symantec) является одной из немногих по-настоящему мощных ATP-групп. Таких серьезных хакеров, в частности, отличает использование эксплойтов нулевого дня, применение неизвестных ранее векторов заражения, компрометация множества государственных организаций в разных странах, умение выкрадывать информацию из сетей, не подключенных к интернету, применение вредоносных модулей, работающих исключительно в памяти и не использующих жесткий диск и так далее.

Эксперты «Лаборатории Касперского» обнаружили ранее неизвестный вид атаки в сентябре 2015 года. Подозрительный модуль находился в системе в качестве исполняемой библиотеки, загруженной в память контроллера домена в сети под управлением Microsoft Windows. Библиотека была зарегистрирована как фильтр паролей для систем Windows и имела доступ к конфиденциальным данным в открытом виде. Эксперты провели расследование, в результате которого обнаружили следы деятельности ранее неизвестной кибергруппировки, ответственной за крупномасштабные атаки на ключевые государственные предприятия в нескольких странах, получившей название ProjectSauron. Выбор имени ProjectSauron для этой угрозы обусловлен тем, что авторы кода использовали слово «Sauron» в конфигурационных файлах.

projectsauron_ru_1-1024x378

Как оказалось, ProjectSauron — это наисложнейшая модульная платформа для кибершпионажа, использующая продвинутые методы сокрытия своего присутствия и извлечения собранных данных, что позволяет атакующим осуществлять продолжительные кампании. Технический анализ показал, что ее создатели «учились» у других организаторов АРТ-атак и сделали все возможное, чтобы не повторять их ошибок. Например, все вредоносные модули создаются специально «под конкретную жертву», что существенно уменьшает возможность их использования как индикаторов компрометации для любой другой жертвы.

В арсенале ProjectSauron присутствуют решения для атак на все современные ОС Microsoft Windows – как x64, так и x86. Также были обнаружены заражения как Windows XP x86, так и Windows 2012 R2 Server Edition x64. Версий ProjectSauron для систем, отличных от ОС Windows, обнаружено не было.

С помощью собственных средств телеметрии сотрудники «Лаборатории Касперского» выявили, что жертвами ProjectSauron стали уже более 30 организаций в Российской Федерации, Иране и Руанде. Хакеры атаковали правительственные структуры, научно-исследовательские центры, вооруженные силы, провайдеров телекоммуникационных услуг и финансовые организации. Исследователи пишут, что в реальности стран и организаций, пострадавших от ProjectSauron, скорее всего, намного больше.

Эксперты полагают, что группировка действовала как минимум с июня 2011 года и по-прежнему проявляет активность в 2016 году. Хотя имеются основания полагать, что хакеры в значительной мере свернули свою деятельность, угроза по-прежнему активна во многих компьютерных системах. Также эксперты убеждены, что операции такого уровня сложности, нацеленные на кражу конфиденциальной и секретной информации, могли быть реализованы только при поддержке государства.

В ходе расследования было выявлено, что в арсенале злоумышленников присутствовало несколько интересных и необычных техник, в том числе:

извлечение собранных данных и передача информации о статусе атаки в режиме реального времени с помощью DNS-запросов;
установка имплантов (вредоносных модулей) с помощью легитимных скриптов обновления ПО;
извлечение данных из физически изолированных сетей с помощью специально подготовленных USB-носителей, с размещением украденных данных в скрытой области, недоступной стандартным средствам операционной системы;
реализация основной платформы и ее плагинов на базе модифицированного скриптового движка Lua. Применение компонентов Lua во вредоносном ПО встречается очень редко – до настоящего времени они были обнаружены лишь в APT Flame и Animal Farm.
В отчете специалисты «Лаборатории Касперского» называют ProjectSauron чрезвычайно «продвинутой» платформой, достигающей уровня сложности таких проектов, как Regin и Equation. Среди наиболее интересных и сложных особенностей платформы аналитики отметили следующие вещи:

различные механизмы извлечения информации, включая передачу данных поверх известных протоколов;
преодоление воздушных зазоров с помощью скрытых разделов на USB-накопителях, созданных специально для переноса данных;
компрометация механизмов LSA для взятия под контроль контроллеров доменов Windows;
использование модифицированного скриптового движка Lua для создания собственных вредоносных скриптов, позволяющих управлять всей вредоносной платформой с помощью языка высокого уровня.
Особенно интересно, что экспертам удалось зафиксировать несколько случаев, когда ProjectSauron успешно проникал в физически изолированные сети. В состав инструментария ProjectSauron входит специальный модуль, предназначенный для переноса данных из физически изолированных сетей в системы, подключенные к интернету. Для этого используются съемные USB-устройства. После взлома подключенных к интернету систем злоумышленники ожидают подключения USB-накопителя к зараженной машине. Такие USB-накопители форматируются особым образом, чтобы уменьшить размер основного раздела на USB-диске. Освобожденное пространство (несколько сот мегабайт) используется злоумышленниками для создания нового зашифрованного раздела, недоступного для стандартных средств ОС Windows. Этот раздел несет в себе собственную виртуальную файловую систему (virtual file system, VFS) с двумя основными директориями – «In» (Входящие) и «Out» (Исходящие).

Такой метод позволяет успешно обойти защиту, обеспечиваемую многими DLP-продуктами, потому что ПО, блокирующее подключение неизвестных USB-устройств на основании DeviceID, не способно предотвратить атаку или утечку данных в случае, когда используется один из одобренных USB-накопителей, известных системе.

Конечно, реализация таких дорогих кампаний по кибершпионажу требовала разветвленной и сложной инфраструктуры доменов и серверов, каждый из которых был предназначен для конкретной жертвы и повторно не использовался. «Лаборатория Касперского» выявила 28 доменов, связанных с 11 IP-адресами в США и нескольких странах Европы, которые имеют отношение к группе ProjectSauron. Эксперт пишут, что разнородность интернет-провайдеров, выбранных для кампаний ProjectSauron, показывает, что группировка делала все возможное, чтобы избежать проведения атак по одной схеме.


https://xakep.ru/2016/08/10/projectsauron/
Комментарии, по рейтингу, по дате
  Хитрая жопа 13.08.2016 в 01:04:19   # 537959
ЛУЧШИЕ себя напоказ не выставляют.
  bozon house 13.08.2016 в 09:16:37   # 537988
  чугуний 13.08.2016 в 10:18:02   # 538001
Самолюбием школьники в туалете занимаются , прекращайте это дело. ..

  Ал 13.08.2016 в 13:39:12   # 538032

Умные люди говорят, что упомянутое "самолюбие" прекрасно развивает слух и мышцы . Обычно одной из рук...

А Quote:
Занятие ерундой на рабочем месте развивает боковое зрение, слух и бдительность в целом!


  Ал 13.08.2016 в 13:47:06   # 538034
Quote:
Идет лекция. Профессор обьясняет, как природа компенсирует человека за утрату того или иного свойства:
— Например, говорит профессор, если человек глухой, то у него развивается острое зрение. Если же слепой, то у него сильно развиваются обоняние и слух и т.д.
Замечание из аудитории:
— Да, да, совершенно верно. Я часто наблюдал, что если у человека одна нога короче, то вторая всегда длиннее...

Quote:
Встречаются три старика и начинают рассказывать друг другу о своих недугах. Первый:
— У меня со здоровьем вроде все нормально, кроме зрения, совсем ничего не вижу. Когда хожу, натыкаюсь на предметы, так что по улицам приходится ходить медленно и осторожно.
Второй:
— А вот меня слух подводит. Когда я с кем—то говорю, часто неверно понимаю слова, отвечаю невпопад и очень смешно выгляжу.
Третий:
— А вот я вчера увидел, как жена, нагнувшись, моет пол, подошел к ней сзади, задрал ей юбку и… в общем, это. Она мне: - "Что ты делаешь"? - "А ты что, не видишь"? - "Так мы же занимались этим 10 минут назад"! Проклятый склероз!
  Ал 13.08.2016 в 14:14:45   # 538041
  spec_s 14.08.2016 в 10:50:37   # 538124
Quote:
преодоление воздушных зазоров с помощью скрытых разделов на USB-накопителях, созданных специально для переноса данных;
это как интересно узнать????
  Ал 14.08.2016 в 11:17:48   # 538125


Quote:
ОБ АВТОРЕ
Мария Нефёдова
Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Похоже, стоит спросить у автора...
Quote:
Особенно интересно, что экспертам удалось зафиксировать несколько случаев, когда ProjectSauron успешно проникал в физически изолированные сети.

Я только одну возможность для этого знаю - безалаберность обслуживающего персонала. В большинстве случаев достаточно USB порты и Сидюки внутри системного блока физически отключить, не забыв его опломбировать...
  Ал 14.08.2016 в 11:29:20   # 538127
Добавить сообщение
Чтобы добавлять комментарии зарeгиcтрирyйтeсь