ProjectSauron: кібершпигунське ПЗ, що зламує зашифровані канали зв'язку держорганізацій

Технології 10 січня 2025

ProjectSauron п'ять років маскувався під фільтр паролів для систем Windows, залишаючись непоміченим

Основні характеристики ProjectSauron:

«Лабораторія Касперського» виявила потужний спеціалізований вірус, який працював непоміченим у мережах різних держорганізацій з 2011 року. Дії вірусу були спрямовані на злом зашифрованих каналів зв'язку скомпрометованих систем. Фахівці з інформаційної безпеки визначили наявність цього malware в мережах понад 30 організацій різних країн.

Malware класифікується як ПО для кібершпигунства класу APT (Advanced Persistent Threat). Цій класифікації відповідають тільки найскладніші і найтриваліші атаки кібершпигунського ПЗ. APT malware є також Equation, Regin, Du^ і Careto. ProjectSauron (кодова назва Strider) довго залишався непоміченим завдяки тому, що він перебував у системі як виконувана бібліотека, завантажена в пам'ять контролера домену в мережі під управлінням Microsoft Windows.

Скомпрометована система вважала бібліотеку фільтром паролів, в результаті чого ProjectSauron отримував доступ до шифрованих даних у відкритому вигляді. Розробником цього ПЗ, на думку фахівців, які виявили його, є невідоме кіберугруповання, яке несе відповідальність за атаки на ключові державні підприємства в різних країнах (РФ, Іран, Руанда). На думку експертів, країн і організацій, які постраждали від вірусу, набагато більше, те, що відомо - це тільки вершина айсберга. Основними об'єктами атак стали урядові структури, науково-дослідні центри, центри збройних сил, телекомунікаційні компанії, фінансові організації.

Основні характеристики ProjectSauron:

Це не простий вірус, а модульна платформа, яка розроблена для кібершпигунства;
Платформа та її модулі використовують просунуті алгоритми шифрування, включаючи RC6, RC5, RC4, AES, Salsa20;
Для платформи розроблено понад 50 модулів-плагінів, що розширюють можливість центрального елемента;
Творці ProjectSauron за допомогою цього ПЗ викрадають ключі шифрування, файли конфігурації та IP-адреси головних серверів мережі, які мають відношення до захисту інформації на підприємстві або в організації;
Зловмисники можуть викрадати дані навіть з мереж, не підключених до інтернету. Це робиться за допомогою спеціальних USB-носіїв. Викрадені дані розміщуються в прихованій області, яка недоступна програмним засобам ОЗ;
ProjectSauron працює, принаймні, з 2011 року.

Вірус дуже складно виявити. Справа в тому, що платформа модифікується для кожної нової атаки. Сервери, доменні імена, IP адреси, які прописують зловмисники для кожного екземпляра модифікованої платформи унікальні. Унікальні модулі і модулі. У них неповторні назви, розміри файлів та інші характеристики. Тимчасові мітки модулів відповідають характеристикам системи, в якій вірус повинен працювати. Модулі призначені для різних цілей, включаючи крадіжку документів, кейлогінг, крадіжку ключів шифрування.

У мережу організації ProjectSauron впроваджується теж щоразу по-різному. У низці випадків зловмисники змінили скрипти, які використовують адміністратори мережі підприємства для оновлення легального ПЗ на комп'ютерах у локальній сітці. Завантажувач ProjectSauron дуже невеликого розміру, при установці на ПК він запускається з правами адміністратора, з'єднується з унікальною IP адресою і завантажує основний елемент ПЗ. Як вже говорилося вище, для роботи платформи і її модулів використовується велика мережа доменів і серверів, причому кожен елемент використовується для певної жертви.

Зараз фахівці з інформаційної безпеки виявили 28 доменів, прив'язаних до 11 IP адресами в США і країнах Європи. Malware має розвинені можливості мережевої комунікації на основі стека найбільш поширених протоколів ICMP, UDP, TCP, DNS, SMTP і HTTP. Платформа використовує протокол DNS для надсилання на віддалений сервер у режимі реального часу даних за поточними операціями.

Для того, щоб ProjectSauron залишався непоміченим тривалий час, його розробники зробили дуже багато. Це, наприклад, використання різних командно-контрольних серверів для різних примірників ПЗ. Унікальні домени та IP адреси, використання різних криптографічних алгоритмів у різних випадках, робота зі звичайними протоколами та форматами повідомлень. Немає ознак повторного використання доменів і серверів. Для кожної атакованої мети використовувався унікальний алгоритм, що унеможливлювало виявлення інших копій ПЗ після виявлення однієї з них за певним індикатором. Єдиний варіант ідентифікації цього ПЗ - структурні схожості коду.

Вірус може красти як документи, так і перехоплювати натискання клавіш, шукати і відправляти своїм творцям ключі шифрування зі скомпрометованих систем і підключених до них накопичувачів. Зараз відомо, що ProjectSauron здатний атакувати всі сучасні версії ОС Microsoft Windows. Інші типи цього ПЗ, призначені для роботи в середовищі інших ОЗ, поки не виявлені.

ProjectSauron при потраплянні в систему розгортає шкідливі модулі всередині каталогу криптографічного програмного забезпечення компанії і маскує власні файли серед вже існуючих. Завантажений вірус залишався в системі в сплячому режимі, очікуючи команди активації. Згодом ProjectSauron займався виявленням ключів шифрування, конфігураційних файлів і адрес серверів, які здійснюють шифрування повідомлень між вузлами мережі.

Експерти з «Лабораторії Касперського» припускають, що вартість підготовки кібершпигунського ПЗ такого рівня становить багато мільйонів доларів США. Операція ж подібного рівня може бути реалізована тільки за активної підтримки цілої держави. Найімовірніше, для створення ProjectSauron залучалися різні групи фахівців.

Зараз ПЗ «Лабораторії Касперського» вміє визначати ознаки наявності в системі ProjectSauron, з детектуванням зразків цього malware як ProjectSauron як HEUR:Trojan.Multi.Remsec.gen.

Повний звіт з аналізу вірусу та його роботи доступний за цим посиланням (.pdf).