ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Vesti, 10.08.2016, 07:00 AM

ProjectSauron: Otkrivena grupa koja se neprimećena godinama bavila sajber špijunažom

Bezbednosni istraživači kompanija Kaspersky Lab i Symantec otkrili su još jednu špijunsku grupu čije delovanje verovatno podržava neka država. Pretnja je najpre nazvana Strider, da bi kasnije bila preimenovana u ProjectSauron koji se spominje u kodu jednog od modula malvera koji grupa koristi.

U septembru 2015. godine, prototip Kaspersky Lab platforme za sprečavanje ciljanih napada zabeležio je nešto neobično u organizaciji jednog svog klijenta. Anomalija je dovela istraživače kompanije do ProjectSaurona, sajber pretnje koja napada državne organizacije pomoću jedinstvenog seta alata, koji je drugačiji za svaku žrtvu, čineći na taj način tradicionalne indikatore kompromitovanosti beskorisnim. Svrha ovih napada je uglavnom bila sajber špijunaža.

Napadači koji stoje iza pretnje ProjectSauron su posebno zainteresovani za pristup šifrovanim komunikacijama, i napadaju ih koristeći naprednu modularnu platformu za sajber špijunažu, koja uključuje niz jedinstvenih alata i tehnika.

Najistaknutija karakteristika taktike koju koriste ProjectSauron napadači jeste namerno odsustvo bilo kakvog obrasca: ProjectSauron prilagođava svoje implante i infrastrukturu svakom pojedinačnom cilju i nikada ih ne koristi ponovo. Ovaj pristup, u kombinaciji sa višestrukim rutama za izvlačenje ukradenih podataka, kao što su legitimni e-mail kanali i DNS, omogućavaju napadačima koji se kriju iza ProjectSaurona da sprovedu tajne i dugoročne špijunske kampanje u ciljanim mrežama.

Stiče se utisak da iza ProjectSaurona stoje iskusni napadači, koji su uložili značajan napor kako bi izvukli pouke od drugih naprednih pretnji, kao što su Duqu, Flame, Equation i Regin. Rezultat tog napora je primena nekih od najinovativnijih tehnika i taktike koje su primenjivali da bi ostali neotkriveni.

Do sada je identifikovano više od 30 organizacija koje su bile mete napada, od kojih se većina nalazi u Rusiji, ali i u Kini, Švedskoj, Belgiji, Iranu, Ruandi i verovatno Italiji. Stručnjaci iz kompanije Kaspersky Lab smatraju da će mnogo veći broj organizacija i geografskih lokacija biti napadnuti u budućnosti.

Na osnovu analize kompanije Kaspersky Lab, ciljane organizacije obično igraju ključnu ulogu u pružanju usluga za državne ustanove i uključuju vladine organizacije, ambasade, vojsku, naučno-istraživačke centre, telekomunikacione operatere, finansijske organizacije.

Forenzičke analize ukazuju da je ProjectSauron započeo u junu 2011., a možda i ranije, i da je još uvek aktivan. Iako se čini da su ove špijunske aktivnosti u velikoj meri prestale, moguće je da je ova pretnja još uvek aktivna na kompjuterskim sistemima koji nisu obuhvaćeni rešenjima Kaspersky Laba.

“Veliki broj ciljanih napada sada se oslanja na jeftine, lako dostupne alate. Nasuprot tome, ProjectSauron je pretnja koja se oslanja na ručno pravljene, poverljive alate i kod koji ima sposobnost da se prilagođava. Pojedinačna upotreba jedinstvenih indikatora, kao što su kontrolni server, ključevi za šifrovanje itd, zajedno sa iskorišćavanjem vrhunskih tehnologija drugih glavnih sajber pretnji, predstavlja nešto novo. Jedini način za odbranu od ovakvih pretnji jeste postojanje višestrukih bezbednosnih slojeva, koji su opremljeni senzorima koji detektuju i najmanju anomaliju u uobičajenom radu organizacije, potpomognuti najrelevantnijim informacijama o sajber pretnjama i taktikama za njihovo sprovođenje, kao i forenzičkim analizama pomoću kojih se uočavaju obrasci koji na prvi pogled ne odaju utisak sajber pretnje”, izjavio je Vitali Kamluk, glavni bezbednosni istraživač u kompaniji Kaspersky Lab.

Troškovi, složenost, upornost kao i krajnji cilj napada a to je krađa poverljivih i tajnih informacija od državnih organizacija, ukazuju na umešanost ili podršku određene države.

Više detalja o ProjectSauronu možete naći na blogu kompanije Kaspersky Lab, SecureList.com i blogu kompanije Symantec.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci imaju novu trik: malver šalju poštom

Sajber kriminalci imaju novu trik: malver šalju poštom

Sajber kriminalci imaju novi trik za inficiranje uređaja malverom: slanje pisama, pravih pisama sa poštanskom markicom, koja sadrže zlonamerne QR k... Dalje

Lažni AI generator slika i video snimaka krade podatke sa Windows i macOS računara

Lažni AI generator slika i video snimaka krade podatke sa Windows i macOS računara

Malveri Lumma Stealer i AMOS trenutno se šire preko veb sajtova na kojima se nudi aplikacija koja se lažno predstavlja kao AI generator slika i vide... Dalje

Proizvođač špijunskog softvera Pegaz nastavio sa napadima na WhatsApp i nakon što je WhatsApp podneo tužbu protiv njega

Proizvođač špijunskog softvera Pegaz nastavio sa napadima na WhatsApp i nakon što je WhatsApp podneo tužbu protiv njega

Neredigovani sudski dokumenti otkrili su da je proizvođač špijunskog softvera NSO Group priznao da je razvijao eksploatacije (exploit) kako bi moga... Dalje

Opasni malver Lumma sakriven u piratskim filmovima i serijama na torent sajtovima

Opasni malver Lumma sakriven u piratskim filmovima i serijama na torent sajtovima

Piratski sadržaj je često dobro mesto za sakrivanje malvera, i to ne bi trebalo da bude iznenađenje za ljude koji ga preuzimaju. Oni koji preduzima... Dalje

Ako je vaša lozinka na ovoj listi, promenite je odmah

Ako je vaša lozinka na ovoj listi, promenite je odmah

NordPass je objavio svoju godišnju listu najpopularnijih lozinki na svetu i drugu godinu zaredom, lozinka „123456“ je zauzela prvo mesto ... Dalje