ProjectSauron é malware que se esconde há quase 5 anos

CyberwarSegurança
1 0 Sem Comentários

A Kaspersky identificou um malware que pode fazer parte de uma rede de ciberespionagem que afeta organizações ligadas aos Estados, designado por ProjectSauron. De acordo com análises forenses, esta ameaça está operacional desde junho de 2011, o que significa que não foi detetada durante quase 5 anos.

Em setembro de 2015, a plataforma da Kaspersky contra ataques direcionados identificou um protótipo com uma característica incomum dentro da rede de um cliente. A anomalia conduziu os investigadores ao ProjectSauron um ator de ameaça Estado-nação que ataca organizações estatais com um conjunto exclusivo de ferramentas para cada vítima.

O ProjectSauron pretende maioritariamente ganhar acesso a comunicações encriptadas, através de uma plataforma modular avançada de ciberespionagem que incorpora técnicas únicas.

O malware tem como alvos preferenciais os governos, instituições militares, centros de investigação científica e as organizações financeiras. Até à data, foram identificadas mais de 30 organizações vítimas, na Rússia, Irão e Ruanda, e pode haver mais em países de língua italiana.

O Project Sauron parece ser um ator experiente que aprendeu com outros atores muito avançados, incluindo Duqu, Flame, Equation e Regin, adotando grande parte das suas técnicas inovadoras e melhorando outras, de forma a permanecer sem ser descoberto. De acordo com a  Kaspersky Lab os casos de ProjectSauron foram detetados como HEUR:Trojan.Multi.Remsec.gen.

A característica mais destacada no ProjectSauron é o facto de evitar deliberadamente o uso de padrões, personalizando a forma de implementação e as infraestruturas para cada alvo individual, dificultando, assim, a sua deteção.

“Alguns ataques dirigidos têm por base ferramentas low cost e prontas para serem utilizadas. ProjectSauron, pelo contrário, é uma das que assentam em ferramentas homemade, de confiança, com códigos personalizáveis. O uso indicadores exclusivos, como o servidor de controlo, chaves de encriptação e outras coisas, a juntar ao uso de técnicas de vanguarda de outros atores de maior ameaça, é uma novidade. A única maneira de resistir a tais ameaças é ter muitas camadas de segurança, assentes numa cadeia de sensores a monitorizar a mínima anomalia, multiplicado com uma análise forense e intelligence para identificar padrões, mesmo quando parece não haver nenhum”, indicou em comunicado Vitaly Kamluk, Investigador Principal de Segurança na Kaspersky Lab.

Eis as principais características do ProjectSauron:

  • Unique footprint: Os core implants têm diferentes nomes e tamanhos individualmente criados para cada alvo – o que torna a deteção muito difícil, uma vez que os mesmos indicadores de compromisso básicos não teriam praticamente qualquer valor para outro objetivo.
  • Memória: O núcleo dos implantes faz uso de comandos de atualizações de software legítimos e trabalha como um backdoor, fazendo download de novos módulos e executando os comandos do atacante apenas na memória.
  • Tendência para cripto-comunicações: o ProjectSauron procura de forma ativa informação relacionada com um software de rede encriptado e personalizado bastante raro. Este software de cliente-servidor é muito utilizado por várias organizações como forma de manter a comunicação protegida: voz, email e troca de documentos. Os atacantes estão particularmente interessados nas componentes de cripto-software, chaves, ficheiros de configuração, e na localização de servidores que transmitem mensagens encriptadas entre os nós.
  • Flexibilidade de scripts: ProjectSauron põe em marcha um conjunto de ferramentas de baixo nível que estão organizados pelos scripts LUA de alto nível. O uso de componentes LUA no malware é muito estranho – foi apenas visto anteriormente nos ataques Flame e Animal Farm.
  • Sem passar por air-gaps: ProjectSauron usa suportes USB especialmente preparados para saltar entre redes air-gap. Estes suportes têm compartimentos escondidos onde os dados roubados ficam armazenados de forma oculta.
  • Mecanismos de exfiltração múltipla: ProjectSauron implementa um conjunto de rotas para exfiltração de dados, incluindo canais legítimos como email e DNS, que levam informação roubada da vítima copiada no tráfego do dia-a-dia.

Os peritos de segurança da Kaspersky aconselham as organizações a fazer uma auditoria completa às suas redes TI e terminais e que implementem as seguintes medidas:

  • Instalar uma solução contra ameaças dirigidas, aliadas à proteção já existente ou não nos terminais. A proteção de terminais em si só não é suficiente para suportar a próxima geração de atores ameaça.
  • Chamar os peritos se for detetada uma anomalia. As soluções mais avançadas de segurança estarão aptas a identificar um ataque ainda que ainda esteja a decorrer, e os profissionais de segurança são muitas vezes os únicos que podem efetivamente bloquear, mitigar e analisar os grandes ataques.
  • Juntar ao acima sugerido serviços de inteligência, que permitam informar as equipas de segurança quanto às últimas evoluções no panorama das ameaças, tendências de ataques, e sinais para os quais deve estar alerta.
  • E, por fim, uma vez que muitos dos ataques maiores começam com spear-phishing ou outra abordagem aos empregados, confirme que o seu staff entende e leva a cabo um comportamento cibernético responsável.

Clique para ler a bio do autor  Clique para fechar a bio do autor