• РЕГИСТРАЦИЯ

ProjectSauron: кибершпионское ПО, взламывающее зашифрованные каналы связи госорганизаций

10 1576

ProjectSauron пять лет маскировался под фильтр паролей для систем Windows, оставаясь незамеченным

«Лаборатория Касперского» обнаружила мощный специализированный вирус, работавший незамеченным в сетях разных госорганизаций с 2011 года. Действия вируса были направлены на взлом зашифрованных каналов связи скомпрометированных систем. Специалисты по информационной безопасности определили наличие этого malware в сетях более 30 организаций разных стран.

Malware классифицируется, как ПО для кибершпионажа класса APT (Advanced Persistent Threat). Этой классификации соответствуют только самые сложные и длительные атаки кибершпионского ПО. APT malware являются также Equation, Regin, Duqu и Careto. ProjectSauron (кодовое название Strider) долго оставался незамеченным благодаря тому, что он находился в системе в качестве исполняемой библиотеки, загруженной в память контроллера домена в сети под управлением Microsoft Windows.

Скомпрометированная система считала библиотеку фильтром паролей, в результате чего ProjectSauron получал доступ к шифрованным данным в открытом виде. Разработчиком этого ПО, по мнению специалистов, обнаруживших его, является неизвестная кибергруппировка, которая несет ответственность за атаки на ключевые государственные предприятия в разных странах (РФ, Иран, Руанда). По мнению экспертов, стран и организаций, которые пострадали от вируса, гораздо больше, то, что известно — это только вершина айсберга. Основными объектами атак стали правительственные структуры, научно-исследовательские центры, центры вооруженных сил, телекоммуникационные компании, финансовые организации.


Основные характеристики ProjectSauron:


- Это не простой вирус, а модульная платформа, которая разработана для кибершпионажа;

- Платформа и ее модули используют продвинутые алгоритмы шифрования, включая RC6, RC5, RC4, AES, Salsa20;

- Для платформы разработано более 50 модулей-плагинов, расширяющих возможность центрального элемента;

- Создатели ProjectSauron при помощи этого ПО похищают ключи шифрования, файлы конфигурации и IP-адреса главных серверов сети, которые имеют отношения к защите информации на предприятии или в организации;

- Злоумышленники могут похищать данные даже из сетей, не подключенных к интернету. Это делается при помощи специальных USB-носителей. Похищенные данные размещаются в скрытой области, которая недоступна программным средствам ОС;

- ProjectSauron работает, по крайней мере, с 2011 года.


Вирус очень сложно обнаружить. Дело в том, что платформа модифицируется для каждой новой атаки. Сервера, доменные имена, IP адреса, которые прописывают злоумышленники для каждого экземпляра модифицированной платформы уникальны. Уникальны и подключаемые модули. У них неповторяющиеся названия, размеры файлов и прочие характеристики. Временные метки модулей соответствуют характеристикам системы, в которой вирус должен работать. Модули предназначены для самых разных целей, включая кражу документов, кейлоггинг, кражу ключей шифрования.

В сеть организации ProjectSauron внедряется тоже каждый раз по-разному. В ряде случаев злоумышленники изменили скрипты, которые используют администраторы сети предприятия для обновления легального ПО на компьютерах в локальной сетке. Загрузчик ProjectSauron очень небольшого размера, при установке на ПК он запускается с правами администратора, соединяется с уникальным IP адресом и загружает основной элемент ПО. Как уже говорилось выше, для работы платформы и ее модулей используется обширная сеть доменов и серверов, причем каждый элемент используется для определенной жертвы.

Сейчас специалисты по информационной безопасности обнаружили 28 доменов, привязанных к 11 IP адресам в США и странах Европы. Malware обладает развитыми возможностями сетевой коммуникации на основе стека наиболее распространных протоколов ICMP, UDP, TCP, DNS, SMTP и HTTP. Платформа использует протокол DNS для отправки на удаленный сервер в режиме реального времени данных по текущим операциям.

Для того, чтобы ProjectSauron оставался незамеченным продолжительное время, его разработчики сделали очень многое. Это, например, использование разных командно-контрольных серверов для разных экземпляров ПО. Уникальные домены и IP адреса, использование различных криптографических алгоритмов в разных случаях, работа с обычными протоколами и форматами сообщений. Признаков повторного использования доменов и серверов нет. Для каждой атакованной цели использовался уникальный алгоритм, что делало невозможным обнаружение других копий ПО после обнаружения одной из них по определенному индикатору. Единственный вариант идентификации этого ПО — структурные схожести кода.

В первую очередь, злоумышленников интересовала информация, которая относится к нестандартному криптографическому ПО. Такое программное обеспечение обычно создается для организаций, которым необходимо защищать свои каналы связи, включая общение голосом, e-mail, обмен документами. Известны форматы файлов, которые больше других интересуют создателей вируса. Это *.txt;*.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx;*.vsd;*.wab;*.pdf;*.dst;*.ppk;*.rsa;*.rar;*.one;*.rtf;~WPL*.tmp;*.FTS;*.rpt;*.conf;*.cfg;*.pk2;*.nct;*.key;*.psw. Также их интересует информация следующих типов: .*account.*|.*acct.*|.*domain.*|.*login.*|.*member.*|.*user.*|.*name|.*email|.*_id|id|uid|mn|mailaddress|.*nick.*|alias|codice|uin|sign-in|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*

Вирус может красть как документы, так и перехватывать нажатия клавиш, искать и отправлять своим создателям ключи шифрования со скомпрометированных систем и подключенных к ним накопителей. Сейчас известно, что ProjectSauron способен атаковать все современные версии ОС Microsoft Windows. Другие типы этого ПО, предназначенные для работы в среде прочих ОС, пока не обнаружены.

ProjectSauron при попадании в систему разворачивает вредоносные модули внутри каталога криптографического программного обеспечения компании и маскирует собственные файлы среди уже существующих. Загруженный вирус оставался в системе в спящем режиме, ожидая команды активации. Впоследствии ProjectSauron занимался выявлением ключей шифрования, конфигурационных файлов и адресов серверов, которые осуществляют шифрование сообщений между узлами сети.

Эксперты из «Лаборатории Касперского» предполагают, что стоимость подготовки кибершпионского ПО такого уровня составляет многие миллионы долларов США. Операция же подобного уровня может быть реализована только при активной поддержке целого государства. Вероятнее всего, для создания ProjectSauron привлекались различные группы специалистов.

Сейчас ПО «Лаборатории Касперского» умеет определять признаки наличия в системе ProjectSauron, с детектированием образцов этого malware как ProjectSauron как HEUR:Trojan.Multi.Remsec.gen.

Полный отчет по анализу вируса и его работы доступен по этой ссылке (.pdf).



Источник: https://habrahabr.ru/post/3074...

    «Возможна в любое время». Чем опасна гражданская война в США?

    Политолог Ищенко прокомментировал опасность гражданской войны в СШАПолитолог, историк и публицист Ростислав Ищенко ответил на вопросы читателей издания «Военное дело» и объяснил опаснос...

    Кабинет, в котором Путин достаёт розги: Третье обращение отсюда будет последним

    Четверг 21 ноября 2024 года непременно войдёт в историю – как и 24 февраля 2022-го. Если той зимой Россия чётко дала понять всем, что, начав нашу военную спецоперацию, мы непременно будем защищать инт...

    Ваш комментарий сохранен и будет опубликован сразу после вашей авторизации.

    0 новых комментариев

      Владимир 23 октября 2017 г. 18:13

      Если США атакуют КНДР, то Россия будет иметь право уничтожать цели в Европе.

      Чтобы объяснить тезис, выведенный в заголовок, давайте для начала ответим на вопрос - зачем США вообще хотят напасть на Северную Корею? А напасть они планируют потому, что КНДР имеет теоретическую! возможность нанесения ракетного удара по территории США. И даже не имеет эту возможность сейчас, но сможет получить её в ближайшем будущем. Т.е. основание...
      1076
      Владимир 19 июня 2017 г. 10:46

      «БАРС Груп» разработала приложение «Реформа ЖКХ»

      Сервис предоставляет информацию об 1,2 млн домов страны Приложение «Реформа ЖКХ», разработанное «БАРС Груп», дочерней компанией Национального центра информатизации Госкорпорации Ростех, стало доступно на платформах IOS и Android.Мобильное приложение позволяет получить актуальную информацию о 1,2 млн домов в любом городе России. Пользователь сможет операт...
      648
      Владимир 15 июня 2017 г. 09:22

      Город цифрового солнца. Путевые заметки из Иннополиса

      Иннополис задумывался как идеальный город айтишников, место силы и место обучения, особая экономическая зона и зона особых человеческих отношений. Как здесь все устроено? Насколько эффективно работает? Правда ли, что люди здесь более открыты (и более наивны), чем «на материке»? И что будет с Иннополисом через десять лет?------------------------------------------------...
      1393
      Владимир 15 июня 2017 г. 02:18

      В Беларуси разработан уникальный штурмовой гранатомет для спецназа

      На белорусском предприятии «Белспецвнештехника» будет производиться 30-мм ручной автоматический гранатомет для спецназа. Новинка отличается небольшим весом (менее 10 кг) и высокой огневой мощью. Фото: «Белспецвнештехника» По словам одного из разработчиков — конструктора предприятия Игоря Васильева — за основу был взят экспериментальный автоматический г...
      1111
      Владимир 15 июня 2017 г. 02:14

      В Украине разработали беспилотную платформу «Черепашка» с АГС на борту

      В Украине разработали радио-управляемую платформу с автоматическим гранатометом (АГС) на борту. Соответствующее видео опубликовали создатели платформы под названием «Черепашка» Александр Грачев и Даулет Бейсембаев. https://www.facebook.com/sasha.kiev/videos/1685547508125618/Испытания данной платформы прошли на Яворивском полигоне. Это малобюджетный волон...
      968
      Владимир 15 июня 2017 г. 02:00

      Беспилотные торговые суда от Rolls-Royce

      Мы как то обсуждали Первое в мире грузовое судно с тягой в виде воздушного змея, торговые суда с атомной установкой и корабли под турбопарусами. А вот что походу ждет нас в ближайшем будущем...Если до сих пор можно было слышать только прогнозы о появлении в ближайшие годы такого направления морских перевозок, как грузоперевозки автономными судами, то с ...
      1098
      Владимир 14 июня 2017 г. 19:00

      Корабль под турбопарусами !

      Знаменитый документальный сериал «Подводная одиссея команды Кусто» великий французский океанограф снимал в 1960–1970-х годах. Основным кораблем Кусто был тогда переделанный из британского минного тральщика «Калипсо». Но в одном из последующих фильмов – «Повторное открытие мира» – появилось другое судно, яхта «Алкиона».Глядя на нее, многие телезрители за...
      2204
      Владимир 12 июня 2017 г. 04:31

      Оказывается, существуют игры такого масштаба! (Десятые сутки на броне. Самый атмосферный страйкбол в мире!)

      Оказывается в России уже не первый год проводятся игры с подобным размахом, но о их существовании я узнал только сейчас и решил поделиться с вами этим видео. https://www.youtube.com/watch?v=d-g80-jpHdM...
      1078
      Владимир 11 декабря 2016 г. 08:11

      В России создали газотурбинный двигатель сверхмалого размера

      На вопросы «Завтра» отвечает Сергей Журавлёв, руководитель проекта создания газотурбинного двигателя сверхмалого размера.«ЗАВТРА». Сергей, при взгляде на вашу микротурбину кажется, что это — небольшой реактивный двигатель. Который, наверное, ставят на какие-то сверхмалые самолёты, беспилотные летательные аппараты…Сергей ЖУРАВЛЁВ. Внешний вид обманчив, и...
      6898
      Владимир 1 ноября 2016 г. 07:41

      ОПК создала антихакерскую систему для Минобороны

      Новый комплекс обнаружения компьютерных атак установлен на 500 оборонных объектах Более 500 объектов Министерства обороны России, в том числе Национальный центр управления обороной РФ, получили новую систему обнаружения компьютерных атак разработки Объединенной приборостроительной корпорации (ОПК).Разработку системы в составе ОПК ведет Центральный научн...
      822
      Владимир 7 сентября 2016 г. 14:35

      Ученый из Петербурга изобрел ветряк, который будет работать и без ветра

      Торнадо своими руками. В Псковской области построили ветряную башню, которая должна позволить вырабатывать ток даже в штиль. Автор — ученый из Петербурга. Главная движущая сила его изобретения — смерч. https://youtu.be/3DWbcrMd8boИсточник: http://www.rtr.spb.ru/vesti_spb/news_detail.asp?id=16.....
      1914
      Владимир 6 августа 2016 г. 13:17

      Российская компания Spirit выходит на рынок с новым продуктом «Видеомост»

      СуН уже писал о российской компании SPIRIT DSP, основанной в 1992 году, но последняя запись датирована аж 2012 годом. Что нового произошло за это время? Компания является признанным мировым лидером в области разработки и лицензирования продуктов для передачи голоса и видео по IP-каналам. В настоящий момент компания поставляет продукцию более чем в 100 с...
      1513
      Владимир 26 июля 2016 г. 15:00

      ДЖОКЕР НЕ ЗЛОДЕЙ (ТАЙНЫЙ ПЛАН ДЖОКЕРА) *ТЕОРИЯ

      Главный злодей фильма Тёмный Рыцарь не тот, кем вы его считали. Джокер - герой Готэм-сити! https://youtu.be/yjn70nFBH7s...
      1335
      Владимир 26 июля 2016 г. 14:53

      Разработчики закончили работу над прототипом патриотической онлайн-игры

      Общественный интернет-журнал «политраша.ком» объявил о том, что прототип отечественной онлайн-игры на основе реальных исторических событий уже готов. По словам представителей журнала и команды разработчиков, завершение разработки базовой версии проекта намечено на сентябрь 2016 года. Новости публикуются на официальном сайте нашаимперия.рф.К участию в со...
      1865
      Владимир 25 июля 2016 г. 13:15

      Джа Джа Бинкс самый главный ситх в саге Звёздные Войны! *Доказательство

      Приготовьтесь узнать правду, которую Лукас решил утаить от нас после того, как фанаты возненавидели неуклюжего гунгана. Оказывается Джа Джа Бинкс совсем не тот, кем вы его считали, не верите? Смотрите сами! https://youtu.be/bbInADcDFMk...
      1939
      Владимир 25 июля 2016 г. 10:01

      «Сириус» в Сочи — восходящая звезда на небосклоне российского образования

      Мы уже писали о Сириусе — уникальном образовательном центре для талантливых детей, который с 1 по 24 июля впервые проводит проектную смену при сотрудничестве с ФИОП РОСНАНО («Создаем умную среду обитания», лаборатория «Молекулярный дизайн») и другими весомыми партнерами, в которой могли участвовать призеры и победители Всероссийской Интернет — олимпиады...
      1269
      Владимир 25 июля 2016 г. 09:22

      Киматика (часть 11) - Песня Земли.

      В этом фильме вы увидите: Акустические свойства дольменов, связь дольменов с природными источниками инфразвука, возможность преобразования звука в полезные для человеческой инфраструктуры виды энергии и другие интересные факты... https://youtu.be/yfATfp2LBl8...
      1024
      Владимир 25 июля 2016 г. 06:17

      В Свердловской области запущен комплекс по извлечению драгоценных металлов из техногенных отходов

      В г. Верхняя Пышма Свердловской области на Екатеринбургском заводе по обработке цветных металлов создан производственный комплекс по обогащению и переработке минерального и техногенного сырья с низким содержанием драгоценных металлов (от 0,02 процента). Сырьё перерабатывается в шлак, который используется в дорожном строительстве. При этом вырабатывается...
      1649
      Владимир 25 июля 2016 г. 06:02

      Физики из МФТИ и РКЦ «утрамбовали» квантовый компьютер

      Ученые из России придумали способ использования многоуровневых квантовых систем в качестве набора из нескольких одиночных кубитов, элементарных ячеек квантового компьютера, что приближает нас к созданию подобного вычислительного прибора, сообщают пресс-службы МФТИ и РКЦ. Для этого они предлагают использовать многоуровневые квантовые системы (кудиты). Каждая из них спо...
      2323
      Владимир 24 июля 2016 г. 15:50

      Ролик показывает, как могут создаваться военные самолеты будущего.

      https://youtu.be/ITF7AhkZFsA...
      1120
      Служба поддержи

      Яндекс.Метрика