На след неизвестной ранее кибергруппировки ProjectSauron, главное правило которой - никаких повторов, вышла "Лаборатория Касперского". Сегодня она раскрыла некоторые подробности "охоты" на кибершпионов. Одновременно об этой группировке заявила компания Symantec, которая назвала организацию Strider, но отметила при этом, что кибершпионы "поворачивают глаз Саурона".
По данным Symantec, Strider действует как минимум с октября 2011 года и проводит атаки с помощью вредоносной программы Remsec.
Почему Толкин? И "Касперский", и Symantec сходятся в том, что во вредоносном коде содержатся отсылки к герою трилогии "Властелин колец" Саурону, а Страйдер (Strider) — прозвище, данное одному из главных персонажей романа "Властелин колец" Джона Рональда Руэла Толкина — Арагорну — жителями Севера Средиземья.
То, что обе компании объявили об обнаружении опасной организации одновременно, связано ещё и с тем, что обеим есть уже, что противопоставить шпионам-толкинистам.
"Лаборатория Касперского" вышла на след ProjectSauron в сентябре 2015 года, когда эксперты компании с помощью решения для детектирования целевых атак Kaspersky Anti Targeted Attack Platform обнаружили необычную деятельность в корпоративной сети одного из своих клиентов.
Количество атак по версии Симантек
От атак кибергруппировки, ведущей свою деятельность с июня 2011 года, уже пострадали как минимум 30 организаций в России, Иране, Руанде и, возможно, некоторых италоговорящих странах, в том числе государственные и военные учреждения, научно-исследовательские центры, телекоммуникационные и финансовые компании. Высокая стоимость, сложность, длительность и конечная цель кампании (кража конфиденциальной информации у государственных организаций) даёт основания предполагать, что злоумышленникам оказывается поддержка на правительственном уровне.
Весьма вероятно, что число жертв намного больше, а география заражения шире, поскольку в случае ProjectSauron традиционные способы выявления атак не работают. Нападающие каждый раз задействуют уникальный набор инструментов, тщательно избегают уже использующиеся образцы, адаптируя вредоносную инфраструктуру для каждой новой жертвы, поэтому невозможно установить начало атаки и определить, как именно они могут войти в сеть. Изобретательность при входе в сеть и разнообразие способов кражи информации (используются даже легитимные почтовые каналы и доменные имена, и копирование под видом рядовой передачи данных), позволяет ProjectSauron долго и успешно вести свою деятельность в сетях жертв.
Обе компании сходятся во мнении по поводу целей и методов "толкинистов".
Одна из главных целей атакующих - зашифрованные каналы связи. Злоумышленники тщательно изучают программы, которые организации-жертвы используют для шифрования электронной почты, звонков, документооборота, особенный интерес проявляя к информации о компонентах ПО для шифрования, ключах, конфигурационных файлах и расположении серверов для передачи зашифрованных сообщений между узлами.
Отличительные особенности ProjectSauron – применение легитимных скриптов для обновления ПО, для загрузки новых зловредов и выполнения нужных команд прямо в памяти атакованного компьютера; проникновение в отключённые от Интернета сети с помощью USB-флешек с тайными ячейками для хранения украденных данных, а также использование весьма редких во вредоносном ПО LUA-скриптов, которые ранее встречались в атаках Flame и Animal Farm.
Похоже, что ProjectSauron активно перенимает опыт своих "коллег", среди которых Duqu, Flame, Equation и Regin, адаптирует и улучшает некоторые их наиболее инновационные техники и способы сокрытия следов.
"Иногда целевые атаки проводятся с помощью дешевых готовых инструментов, но ProjectSauron — совсем другое дело. В данном случае киберпреступники всякий раз разрабатывают новые техники и код скрипта. Стратегия однократного обращения к уникальным инструментам, таким как сервер контроля и ключи шифрования, в сочетании с самыми современными методами других кибергруппировок, — довольно новое явление. Помочь справиться с подобными угрозами может только многоуровневый подход к безопасности, включающий в себя средства, позволяющие улавливать любые необычные действия в корпоративной сети, а также сервисы информирования об угрозах и методах криминалистического анализа для поиска самых скрытых и хитроумных зловредов", — рассказывает Виталий Камлюк, антивирусный эксперт "Лаборатории Касперского".
Модуль, содержащий слово "Саурон".
Для защиты от подобных атак "Лаборатория Касперского" рекомендует организациям регулярно проводить полноценный аудит IT-сетей и конечных устройств; установить в дополнение к защите конечных устройств решение для обнаружения целевых атак; использовать сервисы, дающие доступ к новейшей информации об актуальных угрозах; разработать и тщательно следить за соблюдением сотрудниками политики информационной безопасности, а в случае обнаружения необычной активности в сети обращаться к профессиональным исследователям киберугроз, поскольку иногда только их вмешательство может помочь остановить крупную атаку и устранить ее последствия.
