"Лаборатория Касперского" раскрывает подробности кампании кибершпионажа ProjectSauron
От атак кибергруппировки, ведущей свою деятельность с июня 2011 года, уже пострадали как минимум 30 организаций в России, Иране, Руанде и, возможно, некоторых италоговорящих странах, в том числе государственные и военные учреждения, научно-исследовательские центры, телекоммуникационные и финансовые компании. Высокая стоимость, сложность, длительность и конечная цель кампании (кража конфиденциальной информации у государственных организаций) даёт основания предполагать, что злоумышленникам оказывается поддержка на правительственном уровне.
Весьма вероятно, что число жертв намного больше, а география заражения шире, поскольку в случае ProjectSauron традиционные способы выявления атак не работают. Как именно нападающие проникают в сеть, неизвестно, поскольку каждый раз они задействуют уникальный набор инструментов, тщательно избегают уже использовавшихся образцов, адаптируя вредоносную инфраструктуру для каждой новой жертвы. Это, а также применение множества разных способов для кражи информации, в том числе легитимных почтовых каналов и доменных имён, и её копирование под видом рядовой передачи данных, позволяет ProjectSauron долго и успешно вести свою деятельность в сетях жертв.
Лакомым куском для атакующих является доступ к зашифрованным каналам связи. Злоумышленники тщательно изучают программы, которые организации-жертвы используют для шифрования электронной почты, звонков, документооборота, особенный интерес проявляя к информации о компонентах ПО для шифрования, ключах, конфигурационных файлах и расположении серверов для передачи зашифрованных сообщений между узлами.
Отличительными особенностями ProjectSauron является применение легитимных скриптов для обновления ПО для загрузки новых зловредов и выполнения нужных команд прямо в памяти атакованного компьютера; проникновение в отключённые от Интернета сети с помощью USB-флешек с тайными ячейками для хранения украденных данных; а также использование весьма редких во вредоносном ПО LUA-скриптов, которые ранее встречались в атаках Flame и Animal Farm.
Похоже, что ProjectSauron активно перенимает опыт своих "коллег", среди которых Duqu, Flame, Equation и Regin, адаптирует и улучшает некоторые их наиболее инновационные техники и способы сокрытия следов.
"Иногда целевые атаки проводятся с помощью дешёвых готовых инструментов, но ProjectSauron - совсем другое дело. В данном случае киберпреступники всякий раз разрабатывают новые техники и код скрипта. Стратегия однократного обращения к уникальным инструментам, таким как сервер контроля и ключи шифрования, в сочетании с самыми современными методами других кибергруппировок - довольно новое явление. Помочь справиться с подобными угрозами может только многоуровневый подход к безопасности, включающий в себя средства, позволяющие улавливать любые необычные действия в корпоративной сети, а также сервисы информирования об угрозах и метод криминалистического анализа для поиска самых скрытых и хитроумных зловредов", - рассказывает Виталий Камлюк, антивирусный эксперт "Лаборатории Касперского".
Для защиты от подобных атак "Лаборатория Касперского" рекомендует организациям регулярно проводить полноценный аудит IT-сетей и конечных устройств; установить в дополнение к защите конечных устройств решение для обнаружения целевых атак; использовать сервисы, дающие доступ к новейшей информации об актуальных угрозах; разработать и тщательно следить за соблюдением сотрудниками политик информационной безопасности, а в случае обнаружения необычной активности в сети обращаться к профессиональным исследователям киберугроз, поскольку иногда только их вмешательство может помочь остановить крупную атаку и устранить её последствия.
Комментарии