Kaspersky Lab un Symantec Atklājiet "Project Sauron" Malware

Pētnieki ir atraduši uzlabotas ļaunprātīgas programmatūras, kas var nozagt šifrēšanas atslēgas, savākt informāciju no datoriem, kuros ir gaisa spraugas, un ierakstīt kādu no taustiņsitieniem, neatklājot tos. Pētniekiem nav ne jausmas, kas ir izveidojis ļaunprātīgu programmatūru, ko sauc par projektu Sauron, bet tas ir tik sarežģīti, ka viņi ir pārliecināti, ka tai jābūt “valsts līmeņa” organizācijai. Tā vietā, lai norādītu pirkstus (vai ievērotu Gredzenu pavēlnieks lore), viņi zvana uz projekta Saurona radītāju “Strider”.

Projekts Sauron tika izklāstīts divos ziņojumos, viens no Kaspersky Lab un otrs no Symantec.

Abi drošības uzņēmumi apbrīno tās sarežģītību:

„Projekts Sauron draudzes spēlētājs komandē augstākā līmeņa moduļu kibernoziegumu platformu, ņemot vērā tehnisko sarežģītību,” Kaspersky Lab savā dokumentā raksta par rīku “Paredzēts, lai nodrošinātu ilgtermiņa kampaņas, izmantojot slepenu izdzīvošanas mehānismi kopā ar vairākām exfiltrācijas metodēm. ”

Tas nozīmē, ka tas, iespējams, netika radīts nelielai cilvēku grupai, kas dara visu, ko viņi dara šajā smieklīgajā “hakeru” skatījumā no Bultiņa:

Tā vietā, Kaspersky un Symantec domā, ka “Strider”, iespējams, ir tieši saistīts ar lielu pasaules valdību. Abi drošības izpētes uzņēmumi Amerikas Savienotajās Valstīs nenorāda pirkstus, bet lielākoties projekta Sauron mērķi nav Amerikas draugi.

Kaspersky Lab atklāja ļaunprātīgu programmatūru, kas atrodas datoros Krievijā, Irānā un Ruandā; Symantec to atradis arī ierīcēs Beļģijā, Zviedrijā un Ķīnā. Sauron projektā, starp citām grupām, ir domāts valdības vēstniecībām, telekomunikāciju uzņēmumiem, zinātnisko pētījumu centriem un aviokompānijām.

Projekts Sauron jau ilgu laiku slēpjas nenojaušos datoros, mācoties no saviem priekšgājējiem, piemēram, Flame, Duqu un citām sarežģītām ļaunprātīgas programmatūras programmām. Tas ir ārkārtas kods, un gan Symantec, gan Kaspersky ir pamatoti pārliecināti, ka „Strider” vada valsts valdība.

“Strider spēj izveidot pielāgotus ļaunprātīgas programmatūras rīkus un ir darbojies zem radara vismaz piecus gadus,” Symantec savā ziņojumā raksta par sarežģīto ļaunprātīgo programmatūru. “Pamatojoties uz spiegošanas spējām, kas saistītas ar ļaunprātīgu programmatūru un tās zināmo mērķu raksturu, ir iespējams, ka grupa ir valsts līmeņa uzbrucējs.”

Projekts Sauron tika izveidots, lai izvairītos no atklāšanas, izmantojot dažādus faila izmērus, nosaukumus un moduļus katram mērķim, kas padara pētniekus grūti identificēt.

„Uzbrucēji skaidri saprot, ka mēs kā pētnieki vienmēr meklējam modeļus. Noņemiet modeļus, un darbība būs grūtāk atklājama, ”savā ziņojumā raksta Kaspersky Lab. „Mēs apzināmies, ka vairāk nekā 30 uzbrukušas organizācijas, bet mēs esam pārliecināti, ka tas ir tikai neliels aisberga gals”

Tas varētu nopietni ietekmēt Strider, kurš tā varētu izrādīties.Ziemeļkoreja, saskaroties ar to, ka 2014. gadā tika apsūdzēta Sony, un, iespējams, turpināja vērsties pie citām grupām, ir piedzīvojusi milzīgu neveiksmi pēc tā laika.

Ja Strider izrādīsies amerikāņu, tas nebūtu pirmā reize, kad ASV ir izvietojusi šo skalu. Slavenais Stuxnet vīruss, ko teica ASV un Izraēla, izraisīja nopietnus fiziskus bojājumus Irānas kodoliekārtām (tā pārslogoja dažus jutīgus centrifūgas un sīkumus). Tas varētu būt tikai laika jautājums, pirms Irāna beidzot atkāpsies.

Šie negadījumi kopā ar daudziem citiem rada svarīgu jautājumu par to, kur uzkrāšana attiecas uz “nozieguma” un “kara deklarācijas” mērogu.

Protams, tas ir taisnība tikai tad, ja projekta Saurona radīšanu var attiecināt uz kādu konkrētu valsts valsti, un tas, visticamāk, drīz nenotiks. Lai gan aiz slēgtām durvīm, iespējams, ir daudz pirkstu nospiedumu, tomēr nav pietiekami daudz publiskas informācijas, lai atklātos Strider. Bet projekts Sauron ir rakstīts angļu valodā, tas ir pietiekami izsmalcināts, lai piecus gadus izvairītos no pētniekiem, un tas ir vērsts uz cilvēkiem svarīgās pozīcijās.

„Kibertelpa ir grūti iespējama un uzticama atribūcija ir iespējama. Pat ar pārliecību par dažādiem rādītājiem un acīmredzamām uzbrucēju kļūdām, ir lielāka iespējamība, ka tie ir dūmi un spoguļi, ko izveidojis uzbrucējs, kuram ir lielāks punktu skaits un milzīgi resursi, ”Kaspersky Lab raksta blogā. „Risinot visattīstītākos draudu dalībniekus, kā tas ir Project Sauron gadījumā, piešķiršana kļūst par neatrisināmu problēmu.”

Šobrīd Strider paliek ēnās.