Em setembro de 2015, o Kaspersky Anti Targeted Attack sinalizou característica atípica na rede de uma organização. Essa anomalia conduziu pesquisadores ao ‘ProjectSauron’, um agente de ameaças provavelmente apoiado por algum governo, que ataca organizações públicas utilizando, para cada vítima, um conjunto exclusivo de ferramentas, tornando quase inúteis os convencionais indicadores de compromisso (IoC). Aparentemente, o principal objetivo dos ataques é a espionagem virtual.
O ProjectSauron visa, especificamente, acessar comunicações criptografadas ao utilizar plataforma modular de espionagem virtual avançada, incorporando diversas ferramentas e técnicas exclusivas para encontrá-las e acessá-las. Sua característica mais notável é a falta de padrões: o ProjectSauron personaliza os implantes e a infraestrutura para cada alvo e nunca os reutiliza. Essa abordagem, em conjunto com as diversas vias de extração dos dados roubados, usando DNS e canais de e-mail legítimos, possibilita campanhas de espionagem secretas de longo prazo nas redes-alvo.
Aparentemente, o ProjectSauron é um tradicional e experiente agente que investiu muito no aprendizado com outros agentes extremamente avançados, como Duqu, Flame, Equation e Regin, adotando algumas das técnicas mais inovadoras, além de aprimor suas táticas a fim de evitar sua detecção.
Principais recursos
As ferramentas e técnicas mais interessantes do ProjectSauron incluem:
– Conteúdo exclusivo: os principais implantes têm nomes e tamanhos de arquivo diferentes, e são criados individualmente para cada alvo. Dessa forma, é muito difícil detectá-los, pois os sinais comuns de comprometimento não podem ser utilizados para qualquer outro alvo.
– Execução na memória: os implantes principais utilizam scripts de atualização de software legítimo e funcionam como backdoors, baixando novos módulos ou executando comandos do invasor somente na memória.
– Favorecimento da comunicação criptografada: o ProjectSauron busca ativamente por informações de softwares de criptografia de rede personalizados e relativamente raros. Esses softwares cliente-servidor são adotados amplamente por muitas das organizações-alvo, que visam para proteger troca de comunicações, mensagens de voz, e-mails e documentos.
Os invasores têm interesse específico nos componentes, nas chaves e nos arquivos de configuração do software de criptografia, além da localização dos servidores que retransmitem mensagens criptografadas entre os nós.
– Flexibilidade baseada em scripts: o agente do ProjectSauron implementou diversas ferramentas de baixo nível, gerenciadas por scripts LUA. A utilização de componentes LUA em malware é muito rara; eles foram identificados anteriormente apenas nos ataques do Flame e do Animal Farm.
– Capacidade de afetar redes isoladas (air-gaps): o ProjectSauron utiliza unidades USB preparadas especialmente para transpor as redes “air-gap”. Essas unidades USB contêm compartimentos ocultos nos quais os dados roubados são escondidos.
– Vários mecanismos de extração: o ProjectSauron implementa diversas vias de extração de dados, inclusive usando canais legítimos, como o e-mail e o DNS, e as informações roubadas obtidas da vítima são encobertas pelo tráfego normal do dia-a-dia.
Distribuição geográfica/perfil das vítimas
Até o momento, foram identificadas mais de 30 organizações atacadas, a maioria localizada na Rússia, Irã e Ruanda, e pode haver alguns em países de língua italiana. É provável que muitas outras organizações e regiões sejam afetadas, porém, devido à natureza das operações do ProjectSauron, é extremamente difícil descobrir todos os novos alvos.
De acordo com nossa análise, em geral, as organizações visadas têm papel fundamental na prestação de serviços para o Estado e incluem:
– Governos
– Agências militares
– Centros de pesquisa científica
– Operadoras de telecomunicações
– Organizações financeiras
A perícia forense indica que o ProjectSauron está em operação desde junho de 2011 e continua sua atividade em 2016. Ainda não foi descoberto o vetor de infecção inicial usado pelo ProjectSauron para invadir as redes.
“Atualmente, muitos ataques direcionados recorrem a ferramentas de baixo custo facilmente disponíveis. O ProjectSauron, por outro lado, vale-se de ferramentas confiáveis, de fabricação caseira e de códigos com scripts personalizáveis.
O uso único de indicadores exclusivos, como o servidor de controle, as chaves de criptografia e outros, além da adoção de técnicas de ponta de outros agentes de ameaça importantes, é uma novidade. A única forma de resistir a essas ameaças é a utilização de muitas camadas de segurança, baseadas em uma cadeia de sensores que monitoram até mesmo a menor anomalia no fluxo de trabalho da organização, multiplicadas pela inteligência de ameaças e a perícia para procurar padrões até mesmo quando eles parecem não existir”, explicou Vitaly Kamluk, pesquisador-chefe de segurança da Kaspersky Lab.
Custo, complexidade, persistência e objetivo final da operação podem ser definidos em: roubar informações confidenciais e secretas de organizações relacionadas a governos, que sugerem envolvimento ou apoio de uma nação-estado.
Os especialistas em segurança da Kaspersky Lab recomendam que organizações realizem auditoria meticulosa de suas redes e endpoints de TI, além de implementar as seguintes medidas:
1) Utilizar uma solução contra ataques direcionados junto com a proteção de endpoints já existente. A proteção de endpoints sozinha não é suficiente para lidar com a próxima geração de ameaças.
2) Pedir ajuda de especialistas, caso a tecnologia indique qualquer anomalia. As soluções de segurança mais avançadas conseguem identificar um ataque até mesmo enquanto ele acontece e, em muitos casos, profissionais de segurança são os únicos capazes de efetivamente bloquear, atenuar e analisar grandes ataques.
3) Complementar os itens acima com serviços de inteligência de ameaças: eles informam às equipes de segurança sobre as evoluções mais recentes no cenário de ameaças, as tendências dos ataques e os sinais que devem ser observados.
4) Finalmente, mas igualmente importante: como muitos dos principais ataques começam com spear-phishing ou outra forma de acesso aos funcionários, é essencial que sua equipe conheça e tenha comportamento responsável ao utilizar a Web no ambiente corporativo.
O relatório completo sobre o ProjectSauron foi disponibilizado de antemão aos clientes do serviço de relatórios de inteligência de APTs da Kaspersky Lab. Saiba mais em: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
Os indicadores de comprometimento e as regras YARA estão disponíveis aqui.
Todos os produtos da Kaspersky Lab identificam as amostras do ProjectSauron como HEUR:Trojan.Multi.Remsec.gen.