В сентябре 2015 года аналитики «Лаборатории Касперского» выявили подозрительную активность в корпоративной сети одного из заказчиков. Анализ деятельности группировки, стоявшей за инцидентом, показал, что неизвестные злоумышленники провели успешные целевые атаки против государственных и военных учреждений, а также исследовательских центров и финансовых и телекоммуникационных компаний в России, Руанде, Иране и, как подозревают эксперты, в италоговорящих странах.

Целью хакеров были конфиденциальные данные государственного уровня, о чем свидетельствуют высокая сложность атак, длительные и скрытные операции — налицо все признаки поддержки таинственной группировки правительством неизвестного государства. По словам аналитиков «Лаборатории», проведение подобной операции, скорее всего, потребовало вовлечения нескольких групп специалистов, а бюджет на ее реализацию мог составить миллионы долларов.

Группировка весьма искусно заметает следы, и традиционные способы выявления атак в ее случае не работают. ОПГ ProjectSauron, таким образом, могла нанести вред и другим странам и организациям. Каждый раз хакеры не повторяются в методах: при атаке они внедряются в сеть при помощи уникального набора инструментов, не используют одни и те же образцы зловредов, адаптируются под особенности каждой жертвы. Именно поэтому исследователям пока неясно, каким образом хакеры проникают за периметр и каков вектор атаки.

Также злоумышленники применяют различные способы кражи информации, даже при помощи легитимных почтовых каналов и доменных имен, что позволяет ProjectSauron долго оставаться незамеченной в сети жертвы и с успехом красть данные. Кроме того, успех кампаний также обусловлен возможностью применять легитимные скрипты для обновления ПО, что позволяет загружать в скомпрометированную систему новых зловредов и выполнять команды прямо в памяти компьютера. При отсутствии интернет-подключения компрометация совершается при помощи USB-накопителей с тайными ячейками для хранения украденных данных.

Злоумышленники используют очень редкие скрипты, характерные для атак Flame и Animal Farm, и активно перенимают опыт успешных в прошлом кибершпионских группировок, в том числе Duqu, Flame, Equation и Regin, совершенствуя некоторые из доступных техник.

В ОПГ точно знают, какие средства жертвы используют для шифрования передаваемой информации (электронной почты, звонков, документов), в том числе ПО для шифрования, ключи, конфигурационные файлы и расположение серверов.

Как отметили в «Лаборатории Касперского», участники ProjectSauron определенно спонсируются богатым покровителем (возможно, спецслужбами), так как для каждой отдельной атаки они не ленятся разрабатывать новые техники и код скрипта. Это довольно редкое явление. «Помочь справиться с подобными угрозами может только многоуровневый подход к безопасности, включающий средства, позволяющие улавливать любые необычные действия в корпоративной сети, а также сервисы информирования об угрозах и метод криминалистического анализа для поиска самых скрытых и хитроумных зловредов», — отметил Виталий Камлюк, антивирусный эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» детектируют образцы ProjectSauron как HEUR:Trojan.Multi.Remsec.gen. ProjectSauron атакует все современные ОС Microsoft Windows, как x64, так и x86. Зафиксировали заражения систем на Windows XP x86 и Windows 2012 R2 Server Edition x64.

Категории: Аналитика, Главное, Кибероборона, Хакеры