«Лаборатория Касперского» рассказала о сложной кампании кибершпионажа ProjectSauron (Strider), в ходе которой злоумышленники вскрывают зашифрованные каналы связи государственных организаций.
ProjectSauron — наисложнейшая модульная платформа для кибершпионажа, использующая продвинутые методы сокрытия своего присутствия и извлечения собранных данных, что позволяет атакующим осуществлять продолжительные кампании. Технический анализ платформы показал, что её создатели «учились» у других организаторов целевых атак и сделали всё возможное, чтобы не повторять их ошибок. Например, все вредоносные модули создаются специально «под конкретную жертву», что существенно уменьшает возможность их использования как индикаторов компрометации для любой другой жертвы.
«Лаборатория Касперского» отмечает, что во всех модулях ProjectSauron и сетевых протоколах используются сильные алгоритмы шифрования, такие как RC6, RC5, RC4, AES, Salsa20 и др. Платформа активно использует протокол DNS для извлечения данных и передачи информации о статусе атаки в режиме реального времени.
Атака ProjectSauron сосредоточена на небольшом количестве стран и направлена на сбор наиболее важных данных путём заражения наибольшего количества ключевых организаций, до которых в принципе атакующие способны добраться. На сегодняшний день обнаружено более 30 пострадавших организаций в Российской Федерации, Иране и Руанде; также жертвами могли быть организации в италоязычных странах.
Как правило, ProjectSauron регистрирует свои модули на контроллерах доменов в качестве фильтров паролей Windows. Эту функцию обычно используют системные администраторы, чтобы обеспечить применение парольных политик и проверку новых паролей на соответствие определённым требованиям, например, к длине и сложности. Это позволяет модулю пассивного бэкдора ProjectSauron запускаться каждый раз, когда любой сетевой или локальный пользователь (включая администратора) входит в систему или меняет пароль, и сразу же получать соответствующий пароль в текстовом формате.
Модули ProjectSauron способны красть документы, перехватывать нажатия клавиш, а также красть ключи шифрования с зараженных компьютеров и подключенных к ним USB-накопителей.
Более подробно узнать о кибершпионской кампании ProjectSauron можно здесь.
Источник:
