ProjectSauron: Cyber-Spyware, die verschlüsselte Kommunikationskanäle von Regierungsorganisationen knackt

    ProjectSauron hat sich fünf Jahre lang unbemerkt als Kennwortfilter für Windows-Systeme getarnt



    Kaspersky Lab hat einen leistungsstarken Spezialvirus entdeckt, der seit 2011 in Netzwerken verschiedener Regierungsorganisationen nicht mehr entdeckt wurde. Die Aktionen des Virus zielten darauf ab, die verschlüsselten Kommunikationskanäle kompromittierter Systeme zu unterbrechen. Experten für Informationssicherheit haben das Vorhandensein dieser Malware in den Netzwerken von mehr als 30 Organisationen in verschiedenen Ländern festgestellt.

    Malware wird als Cyberspionagesoftware der Klasse APT (Advanced Persistent Threat) eingestuft. Nur die komplexesten und langwierigsten Cyber-Spyware-Angriffe entsprechen dieser Klassifizierung. APT-Malware sind auch Equation , Regin , Duqu und Careto. ProjectSauron (Codename Strider) ist seit langem unbemerkt geblieben, da es sich im System als ausführbare Bibliothek befand, die in den Speicher eines Domänencontrollers in einem Netzwerk mit Microsoft Windows geladen wurde.

    Kompromittiertes System gerechnetBibliothek mit einem Passwortfilter, wodurch ProjectSauron im Klartext Zugriff auf verschlüsselte Daten erhielt. Experten zufolge ist der Entwickler dieser Software eine unbekannte Cyber-Gruppe, die für Angriffe auf wichtige staatliche Unternehmen in verschiedenen Ländern (Russland, Iran, Ruanda) verantwortlich ist. Experten zufolge gibt es viel mehr Länder und Organisationen, die von dem Virus betroffen sind. Bekannt ist nur die Spitze des Eisbergs. Die Hauptziele der Angriffe waren Regierungsbehörden, Forschungszentren, Militärzentren, Telekommunikationsunternehmen und Finanzorganisationen.

    Hauptmerkmale von ProjectSauron:

    • Dies ist kein einfacher Virus, sondern eine modulare Plattform, die für Cyberspionage entwickelt wurde.
    • Die Plattform und ihre Module verwenden fortschrittliche Verschlüsselungsalgorithmen, einschließlich RC6, RC5, RC4, AES, Salsa20;
    • Für die Plattform wurden mehr als 50 Plugin-Module entwickelt, die die Fähigkeit des zentralen Elements erweitern.
    • Die Entwickler von ProjectSauron, die diese Software verwenden, stehlen Verschlüsselungsschlüssel, Konfigurationsdateien und IP-Adressen der wichtigsten Netzwerkserver, die sich auf den Schutz von Informationen im Unternehmen oder in der Organisation beziehen.
    • Angreifer können Daten auch aus Netzwerken stehlen, die nicht mit dem Internet verbunden sind. Dies geschieht mit speziellen USB-Laufwerken. Die gestohlenen Daten werden in einem versteckten Bereich abgelegt, der der Betriebssystemsoftware nicht zur Verfügung steht.
    • ProjectSauron ist seit mindestens 2011 in Betrieb.

    Das Virus ist sehr schwer zu erkennen. Tatsache ist, dass die Plattform für jeden neuen Angriff geändert wird. Server, Domainnamen und IP-Adressen, die Cyberkriminelle für jede Instanz der geänderten Plattform registrieren, sind eindeutig. Einzigartig und Plug-Ins. Sie haben eindeutige Namen, Dateigrößen und andere Merkmale. Die Zeitstempel der Module entsprechen den Eigenschaften des Systems, in dem der Virus arbeiten soll. Die Module sind für eine Vielzahl von Zwecken konzipiert, einschließlich Diebstahl von Dokumenten, Keylogging und Diebstahl von Verschlüsselungsschlüsseln.

    ProjectSauron wird jedes Mal anders im Netzwerk des Unternehmens implementiert. In einigen Fällen haben die Angreifer die Skripts geändert, mit denen die Netzwerkadministratoren des Unternehmens legale Software auf Computern im lokalen Netzwerk aktualisieren. Der ProjectSauron-Loader ist sehr klein. Wenn er auf einem PC installiert ist, beginnt er mit Administratorrechten, stellt eine Verbindung zu einer eindeutigen IP-Adresse her und lädt das Hauptsoftwareelement herunter. Wie oben erwähnt, wird ein umfangreiches Netzwerk von Domänen und Servern verwendet, um die Plattform und ihre Module zu betreiben, wobei jedes Element für ein bestimmtes Opfer verwendet wird.

    Jetzt haben Experten für Informationssicherheit 28 Domains entdeckt, die an 11 IP-Adressen in den USA und in europäischen Ländern gebunden sind. Malware verfügt über erweiterte Netzwerkfunktionen, die auf dem Stapel der gängigsten Protokolle ICMP, UDP, TCP, DNS, SMTP und HTTP basieren. Die Plattform verwendet das DNS-Protokoll, um aktuelle Betriebsdaten in Echtzeit an einen Remote-Server zu senden.

    Damit ProjectSauron lange Zeit unbemerkt bleibt, haben die Entwickler viel getan. Dies ist beispielsweise die Verwendung unterschiedlicher Befehls- und Steuerungsserver für unterschiedliche Softwareinstanzen. Einzigartige Domänen und IP-Adressen, die Verwendung verschiedener kryptografischer Algorithmen in verschiedenen Fällen, funktionieren mit herkömmlichen Protokollen und Nachrichtenformaten. Es gibt keine Anzeichen für eine Wiederverwendung von Domänen und Servern. Für jedes angegriffene Ziel wurde ein eindeutiger Algorithmus verwendet, der es unmöglich machte, andere Kopien der Software zu erkennen, nachdem eine von ihnen durch einen bestimmten Indikator erkannt wurde. Die einzige Möglichkeit, diese Software zu identifizieren, sind strukturelle Ähnlichkeiten des Codes.


    Zunächst waren die Angreifer an Informationen interessiert, die sich auf nicht standardmäßige kryptografische Software beziehen. Solche Software wird normalerweise für Unternehmen erstellt, die ihre Kommunikationskanäle schützen müssen, einschließlich Sprachkommunikation, E-Mail und Dokumentenaustausch. Es gibt bekannte Dateiformate, die für die Urheber des Virus am interessantesten sind. Dies ist * .txt; *. Doc; *. Docx; *. Ppt; *. Pptx; *. Xls; *. Xlsx; *. Vsd; *. Wab; *. Pdf; *. Dst; *. Ppk; * .rsa; *. rar; *. one; *. rtf; ~ WPL * .tmp; *. FTS; *. rpt; *. conf; *. cfg; *. pk2; *. nct; *. key; * .psw. Sie sind auch an Informationen der folgenden Typen interessiert: * Konto. * |. * Konto. * |. * Domain. * |. * Login. * |. * Mitglied. * |. * Benutzer. * |. * Name |. * E-Mail |. * _ id | id | uid | mn | mailaddress |. * nick. * | alias | codice | uin | sign-in | strCodUtente |. * pass. * |. * pw | pw. * | zusätzliche_info |. * secret . * |. * segreto. *

    Der Virus kann Dokumente stehlen sowie Tastenanschläge abfangen, Verschlüsselungsschlüssel von gefährdeten Systemen und damit verbundenen Laufwerken suchen und an seine Ersteller senden. Es ist jetzt bekannt, dass ProjectSauron alle modernen Versionen von Microsoft Windows angreifen kann. Andere Arten dieser Software, die für die Verwendung in der Umgebung anderer Betriebssysteme entwickelt wurden, wurden noch nicht entdeckt.

    Beim Eintritt in das System stellt ProjectSauron schädliche Module im kryptografischen Softwarekatalog des Unternehmens bereit und verschleiert seine eigenen Dateien unter den vorhandenen. Der heruntergeladene Virus blieb im Schlafmodus im System und wartete auf den Aktivierungsbefehl. Anschließend war ProjectSauron an der Identifizierung von Verschlüsselungsschlüsseln, Konfigurationsdateien und Serveradressen beteiligt, die Nachrichten zwischen Netzwerkknoten verschlüsseln.

    Experten von Kaspersky Lab gehen davon aus, dass die Kosten für die Vorbereitung von Cyber-Spyware auf diesem Niveau viele Millionen US-Dollar betragen. Eine Operation dieser Ebene kann nur mit der aktiven Unterstützung eines ganzen Staates realisiert werden. Höchstwahrscheinlich waren verschiedene Spezialistenteams an der Erstellung von ProjectSauron beteiligt.

    Jetzt kann die Kaspersky Lab-Software Anzeichen für das Vorhandensein von ProjectSauron im System erkennen, wobei Beispiele dieser Malware als ProjectSauron als HEUR: Trojan.Multi.Remsec.gen erkannt werden.

    Einen vollständigen Bericht über die Analyse des Virus und seine Arbeit finden Sie unter diesem Link (.pdf) .

    Jetzt auch beliebt: