روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در سالهای اخیر گزارشهای رسانه ای مربوط به حملات APT بطور قابل ملاحظه ای افزایش یافته است. گرچه نام بردن APT یا همان "تهدیدهای پیشرفته و مستمر" برای بسیاری از این گزارشات بزرگنمایی می باشد. اما با ذکر استثناهایی؛ تعداد کمی از این حملاتی که معمولا در رسانه ها گزارش شده است بسیار پیشرفته بوده است. این استثناها که به اعتقاد ما نشان دهنده ی اوج جاسوسی سایبری می باشند شامل Equation، Regin، Duqu یا Careto می باشند که واقعا تهدیدهای پیشرفته ای بودند. دیگر مثال پلتفرم جاسوسی استثنایی "پروژه سائورون" می باشد که بعنوان استرایدر(Strider) شناخته شده است.
یک تهدید پیشرفته واقعی برای اینکه تبدیل به یک APT شود از چه چیزهایی تشکیل شده است؟ در اینجا تعدادی از ویژگی های بالاترین گروه های جاسوسی سایبری مشخص شده است:
- سو استفاده کردن از اکسپلویت ها
- انتقال آلودگی از طریق عوامل شناسایی نشده
- به خطر انداختن سازمانهای دولتی و حکومتی در چند کشور
- سرقت اطلاعات به مدت طولانی، پیش از شناسایی
- توانایی سرقت اطلاعات از شبکه هایی که به اینترنت وصل نیستند
- پشتیبانی از کانال های متعدد خروج مخفیانه در پروتکل های مختلف
- ماژول های بد افزاری که می توانند بدون حضور در دیسک ها در حافظه سیستم باقی بمانند
- تکنیکهای ماندگاری غیرمعمولی که گاهی از ویژگی های داکیومنت نشده سیستم عامل استفاده می کنند
"پروژه سائرون" به سادگی بسیاری از این ویژگی ها را داراست.
از کشف تا شناسایی:
زمانی که صحبت از ماندگاری طولانی مدت پروژه های جاسوسی سایبری می شود بسیاری از مردم از اینکه چرا کشف این جاسوسی ها انقدر طول می کشد تعجب می کنند. شاید یکی از جواب ها نداشتن ابزار مناسب برای این کار می باشد. تلاش برای به دام انداختن بدافزارهای در رده دولتی و نظامی نیازمند محصولات و تکنولوژی های تخصصی می باشد. یکی از این محصولات KATA یا پلتفرم ضد حملات هدفمند کسپرسکی (Kaspersky’s AntiTargeted Attacks Platform) می باشد. در ماه سپتامبر 2015 تکنولوژی های ضد حملات هدفمند ما توانستند حمله ناشناخته ای را شناسایی کنند. ماژول مشکوک، یک library قابل اجرا بود که بر روی حافظه ی دامین کنترلر ویندوز لود شده بود. این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به داده های حساس کدگذاری نشده دسترسی داشت. تحقیقات بیشتر ما نشانه هایی از فعالیت های بزرگ یک تهدید جدید موسوم به "پروژه سائورون" که قابلیت حملات گسترده به نهادهای دولتی کلیدی در چندین کشور دارد را برملا ساخت.
پروژه سائورون که ازنظر پیچیدگی های فنی بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار را شامل می شود، جهت قادر ساختن کمپین های طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متدهای گوناگون خروج اطلاعات طراحی شده است. جزئیات فنی نشان می دهد که مهاجمان چطور از پروژه های بسیار پیشرفته قبلی درس گرفت اند تا اشتباهات آنها را تکرار نکنند.
برخی از دیگر ویژگیهای کلیدی پروژه سائورون:
- از یک پلتفرم ماژولار است که جهت قادر ساختن کمپین های جاسوسی سایبری طولانی مدت طراحی شده است.
- تمامی ماژول ها و پروتوکل های شبکه از الگوریتم های رمزگذاری بسایر قوی مانند؛ RC6 RC5, RC4, AES, Salsa20 و ... استفاده می کنند.
- برای پیاده سازی هسته پلتفرم و پلاگین هایش از موتور برنامه نویسی Lua اصلاح شده استفاده می کند.
- از بیش از 50 نوع مختلف پلاگین بهره می برد.
- گرداننده این پروژه از از نرم افزار رمزگذاری مخابراتی که بطور گسترده ای توسط سازمانهای دولتی مورد هدف استفاده می شود، بهره می برد، که می تواند کلیدهای رمزگذاری، فایلهای پیکربندی، و آی پی آدرس های سرورهای کلیدی مرتبط با نرم افزار رمزگذاری را سرقت کند.
- قادر است اطلاعات را از طریق حافظه یو اس بی آلوده ای که داده های آن در قسمتی که برای سیستم عامل غیرقابل رویت می باشد، ذخیره شده است، از شبکه هایی که به اینترنت وصل نیستند سرقت کند.
- این پلتفرم بطور وسیعی از پروتکل DNS جهت سرقت اطلاعات و گزارشات لحظه ای سیستم استفاده می کند.
- این پروژه از سال 2011 شروع به فعالیت کرده و تا اپریل 2016 فعال بوده است.
- نخستین عامل انتقال آلودگی که به شبکه قربانیان نفوذ کرد ناشناخته باقی مانده است.
- مهاجمان از طریق کانال های قانونی توزیع نرم افزار برای انتقال از طریق شبکه های آلوده شده استفاده می کنند.
برای اینکه به کسانی که این مطلب را می خوانند کمک کنیم پلتفرم "پروژه سائورون" را بهتر بشناسند، لیستی از پرسش و پاسخ های سودمندی که شامل مهمترین نکات مربوط به مهاجمان و ابزارهای مقابله با آن می باشد آماده کرده ایم.
همچنین همکاران ما در شرکت سیمانتک آنالیزهای خود در مورد پروژه سائورون را منتشر کرده اند که از طریق لینک زیر می توانید به آن دسترسی داشته باشید:
http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets
پرسش و پاسخ ها در مورد پروژه سائورون
1- پروژه سائورون چیست؟
پروژه سائورون نامیست برای بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار، که جهت قادر ساختن کمپین های طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متدهای گوناگون خروج اطلاعات طراحی شده است.
جزئیات فنی نشان می دهد که مهاجمان چطور از پروژه های بسیار پیشرفته قبلی درس گرفت اند تا اشتباهات آنها را تکرار نکنند.
حملات APT معمولا برای استخراج اطلاعات از یک منطقه و یا یک صنعت خاص طرح ریزی می شوند. که به آلوده کردن چندین کشور در آن منطقه و یا صنعت هدف گذاری شده در سرتاسر دنیا می انجامد. جالب توجه است که پروژه سائورون صرفا برای تعدادی کشور خاص، با تمرکز بر اطلاعات با ارزش بالا و به خطر انداختن تمام نهادهای کلیدی که در این کشورها وجود دارند، طراحی شده است.
نام پروژه سائورون، نشان دهنده آن است که نویسندگان آن به "سائورون" در زبان برنامه نویس Lua اشاره دارند.
2- قربانیان این پروژه چه کسانی هستند؟
تحقیقات ما نشان می دهد بیش از 30 سازمان در کشورهای روسیه، ایران، رواندا و احتمالا کشورهای ایتالیای زبان آلوده شده اند. تعداد زیادی از سازمان ها در سایر مناطق جغرافیایی نیز بنظر می رسد آلوده شده باشند.
- دولت ها
- مراکز تحقیقات علمی
- مراکز نظامی
- ارائه دهندگان خدمات مخابراتی
- دارایی ها
- و ...
3- آیا شما قربانیان را از این موضوع باخبر کرده اید؟
مانند همیشه، لابراتوار کسپرسکی بصورت فعال با شرکای صنعتی و سازمانهای اجرای قانون در جهت آگاه سازی قربانیان و کاهش تهدیدات همکاری می کند. ما همچنین روی انتشار اطلاعات از طریق آگاه سازی عمومی حساب باز می کنیم.
4- مهاجمان برای چه مدت فعال بوده اند؟
تجزیه و تحلیل های ما نشان می دهد که این پروژه حداقل از ماه جون 2011 تا 2016 فعالیت می کرده است. هرچند بنظر می رسد که تا فعالیتهای آن تا حدود زیادی متوقف شده باشد اما امکان اینکه این جاسوس افزار بر روی سیستمهایی که از راهکارهای کسپرسکی بهره نمی برند فعال باشد وجود دارد.
5- آیا مهاجمان از تکنیک های جالب و پیشرفته استفاده کردند؟
مهاجمان چندین تکنیک جالب و غیرممکن را بکار بردند، از جمله:
- استخراج داده ها و گزارشات لحظه ای از طریق درخواست های DNS
- گسترش نفوذ از طریق اسکریپتهای آپدیت نرم افزارهای قانونی
- استخراج داده ها ازشبکه هایی که به اینترنت وصل نیستند با استفاده از حافظه های یو اس بی آلوده که اطلاعات سرقت شده در قسمتی از حافظه بلا استفاده ی ابزارهای سیستم عامل ذخیره شده اند.
- استفاده از موتور برنامه نویسی Lua اصلاح شده، برای پیاده سازی هسته پلتفرم و پلاگین های پروژه. استفاده از کامپوننت های Lua برای بدافزارها بسیار نادر می باشد – این مورد قبلا در مورد حملات فلیم(Flame) و Animal Farm مشاهده شده است.
6- شما چطور این بدافزار را کشف کردید؟
در سپتامبر 2015 پلتفرم ضد حملات هدفمند کسپرسکی ترافیک شبکه ای غیر عادی را در شبکه یکی از سازمانهای طرف قرارداد خود کشف کرد. آنالیز این رویداد به کشف یک library برنامه قابل اجرای قدرتمندی که در حافظه سرور دامین کنترلر لود می شد، ختم شد. این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به داده های حساس مثل پسوردهای ادمین و متنهای کدگذاری نشده دسترسی داشت. تحقیقات بیشتر، نشانه هایی از فعالیتهای تهدید ناشناخته قبلی را آشکار ساخت.
7- پروژه سائورون چگونه عمل می کند؟
پروژه سائورون معمولا ماژول های ماندگار خود را از طریق فیلترهای پسورد LSA(Local Security Authority) ویندوز رجیستر می کند. این ویژگی عموماً توسط system administrator ها جهت اجرای policy های پسورد و اعتبارسنجی پسوردهای جدید از لحاظ برخی الزامات مانند طول و پیچیدگی کلمه عبور، استفاده می شود. با این روش هر زمان که هرکدام از کاربران شبکه و یا سیستم های لوکال(حتی مدیران شبکه) لاگین کنند یا پسورد خود را تغییر دهند، ماژول "درپشتی" پروژه سائورون فعال می شود و پسوردها را می رباید.
در مواردی که دامین کنترلرها به اینترنت دسترسی ندارند، مهاجمان یک کامپوننت اضافی بر روی دیگر سرورهای محلی که هم به شبکه محلی و هم به شبکه اینترنت دسترسی دارند و نیز مقدار قابل توجهی از ترافیک شبکه از آنها عبور می کند(مثل پروکسی سرورها، وب سرورها و سرورهای آپدیت نرم افزار)، نصب می کنند. پس از آن، این سرورهای میانی توسط پروژه سائورون بعنوان یک پروکسی-نود مخفی در راستای استخراج بی سروصدای داده ها بصورت ترکیب شده با حجم بالایی از ترافیک معمولی شبکه، مورد سواستفاده قرار می گیرند.
پس از نصب، ماژول های پروژه سائورون اصلی، بصورت sleeper cells (یک گروه از ماموران مخفی که برای یک دوره طولانی غیر فعال باقی مانده است) شروع بکار می کنند و بدون نشان دادن هیچ فعالیتی از خود منتظر دستور بیدار باشی که از طریق ترافیک شبکه دریافت می کنند، می مانند. این روش، پروژه سائورون را مطمئن می کند که می تواند برای مدتی طولانی روی سرورهای سازمانهای هدف باقی بماند.
8- پروژه سائورون از چه نوع کامپوننت هایی استفاده می کند؟
بیشتر کامپوننت های هسته اصلی پروژه سائورون به منظور فعالیت بعنوان درپشتی(back door)، دانلود ماژول های جدید و یا اجرای فرمانهای مهاجمان، صرفا در حافظه طراحی شده اند، تنها راه به دام انداختن این ماژول ها انجام memory dump(پروسه ای که طی آن تمام محتوای حافظه نمایش داده می شود) کامل بر روی سیستم آلوده می باشد.
تقریباً تمام کامپوننت های هسته اصلی پروژه سائورون منحصر به فرد هستند و دارای اسم و سایزهای متفاوت هستند و هرکدام بصورت مجزا برای هدفی خاص ساخته شده اند. برچسب زمانی(نشان دهنده زمان فعلی رویدادهای رکورد شده در کامپیوتر) هر ماژول، چه در فایل سیستم و چه در هِدرِ خود ماژول، صرفا جهت محیطی که ماژول در آن نصب شده است طراحی گردیده.
ماژول های ثانویه ی پروژه سائورون برای انجام فعالیت های خاصی مانند سرقت داکیومنت ها، ذخیره کلیدهای کیبورد(به منظور دستیابی به پسوردها) و سرقت کلیدهای رمزنگاری از کامپوترهای آلوده و حافظه های USB فلش متصل شده، طراحی شده اند.
پروژه سائورون از طریق سیستم فایل مجازی خود، یک معماری ماژولار پیاده سازی کرده تا بتواند ماژول های اضافی(پلاگین ها) را ذخیره کرده و مترجم زبان برنامه نویس Lua را برای اجرای اسکریپتهای درونی خود تغییر دهد. این پروژه بیش از 50 نوع مختلف از ماژول ها را شامل می شود.
9- عامل انتقال اولیه چه چیزی بوده است؟
تا به امروز، عامل انتقال اولیه ای که پروژه سائورون جهت نفوذ به شبکه قربانیان استفاده کرده است، ناشناس باقی مانده است.
10- ماژول های پروژه سائورون چگونه در شبکه هدف مستقر شدند؟
در بسیاری از موارد، ماژول های پروژه سائورون از طریق تغییر اسکریپت هایی که system administrator ها برای انجام آپدیت های معمول نرم افزاری در شبکه استفاده می کردند، مستقر می شدند.
در اصل، مهاجمان یک فرمان، جهت فعال کردن بدافزار با تغییر اسکریپت نرم افزار موجود، تزریق می کردند. بد افزار تزریق شده، یک ماژول کوچک است که بعنوان یک دانلودر ساده کار می کند.
هنگامی که اکانت مدیر شبکه استارت شود، این دانلودر به آی پی آدرس های داخلی و خارجی متصل می شود و شروع به دانلود داده های اصلی و بزرگ مورد هدف پروژه سائورون می کند.
در مواردی که پروژه سائورون محتوای پایدار خود را بر روی دیسک در فرمت exe ذخیره می کند، آنها را از طریق نامگذاری با اسم نرم افزارهای مجاز و معمولی موجود در سیستم پنهان می کند.
11- مهاجمان از چه زیرساختی استفاده می کردند؟
گرداننده پروژه سائورون زمانی که وارد این عملیات امنیتی شد، بسیار آماده بود. اجرای یک کمپین جاسوسی سایبری مانند پروژه سائورون نیازمند زیرساختهای سروری و دامنه های منحصر به فردیست که برای هریک از سازمانهای قربانی اختصاص یافته و دیگر استفاده نخواهد شد. این عملیات باعث می شود شبکه های مبتنی بر شاخص های قدیمی بلااستفاده شوند زیرا آنها دیگر در هیچ سازمانی استفاده نخواهند شد.
ما 28 دامنه متصل به 11 آی پی که در ایالات متحده و چندین کشور اروپایی که ممکن بود به کمپین پروژه سائورون متصل باشند را جمع آوری کرده ایم. حتی تنوع ISP های انتخاب شده توسط عملیات پروژه سائورون نشان دهنده این است که گرداننده این پروژه برای جلوگیری از لو رفتن طرح خود همه چیز را فراهم کرده بود.
12- آیا هدف پروژه سائورون شبکه های ایزوله(غیر متصل به اینترنت) است؟
بله، ما چند مورد از شبکه های ایزوله ای که پروژه سائورون موفق به نفوذ به آنها شده بود را ثبت کردیم.
ابزارهای پروژه سائورون شامل ماژول های خاصی می شود که جهت انتقال داده ها از شبکه های ایزوله به سیستم های متصل به اینترنت، طراحی شده اند. برای دستیابی به این هدف، از حافظه های USB استفاده شده است. همینکه سیستمهای شبکه در معرض خطر قرار گرفتند، مهاجمان منتظر اتصال یک حافظه USB به ماشین های آلوده می مانند.
این USBها بطور خاص جهت کاهش سایز پارتیشن روی دیسک USB، رزرو مقداری داده پنهان(چند صد مگابایت) در انتهای دیسک جهت اهداف خرابکارانه، فرمت شده اند. این فضای رزرو شده جهت ایجاد یک پارتیشن رمزنگاری شده ی خاص استفاده شده است که توسط سیستم عامل های رایج مثل سیستم عامل ویندوز، غیر قابل شناسایی می باشد. این پارتیشن، فایل سیستم(یا سیستم فایل مجازی) خاص خود را داراست. با دو دایرکتوری اصلی: "IN" و "OUT".
این متد همچنین نرم افزارهای DLP(جلوگیری از نشت داده ها) زیادی را دور میزند. از آنجایی که این نرم افزارها اتصال USB های ناشناخته را بر مبنای شناسه دستگاه(DeviceID) غیرفعال می کنند و از این طریق جلوی حملات و نشت داده ها را می گیرند، این پروژه از USB های به رسمیت شناخته شده استفاده می کند.
13- آیا پروژه سائورون زیرساخت های حیاتی را مورد هدف قرار می دهد؟
برخی از نهادهایی که آلوده شده اند می توانند در گروه زیرساخت های حیاتی قرار بگیرند. به هرحال، ما شبکه های سیستم کنترل صنعتی که دارای سیستم SCADA بودند را بعنوان مراکز آلوده شده به پروژه سائورون ثبت نکردیم.
همچنین ما هنوز ندیده ایم که ماژول های پروژه سائورون صنعت های نرم افزاری و سخت افزاری را هدف گیری کرده باشند.
14- پروژه سائورون از متدهای ارتباطی خاصی استفاده کرده است؟
در مورد ارتباطات شبکه ای، ابزارهای پروژه سائورون قابلیتهای گسترده ای دارند، بیشتر نفوذ های معمولی با استفاده از پروتکل های ICMP, UDP, TCP, DNS, SMTP و HTTP صورت گرفت.
یکی از پلاگین های پروژه سائورون، ابزار انتقال داده های DNS می باشد. برای جلوگیری از تشخیص توسط تونل های DNS در سطح شبکه، مهاجمان آن را از طریق حالت پهنای باند کم به کار بردند، به همین دلیل بود که این ابزار فقط برای سرقت ابرداده های سیستم های هدف، بکار برده شد.
دیگر ویژگی جالب بدافزار پروژه سائورون که از طریق آن توانست به پروتوکل DNS نفوذ کند، گزارش آنی پیشرفت عملیات به سیستم ریموت می باشد. به محض اینکه نقطه عطفی در عملیات بدست می آمد، پروژه سائورون یک درخواست DNS به یک دامین منحصر بفرد ویژه به هریک از اهداف می فرستد.
15- پیچیده ترین ویژگی پروژه سائورون چیست؟
در کل، پلتفرم پروژه سائورون بسیار پیشرفته است و سطح پیچیدگی و تهدید آن را در همین مطلب اعلام کرده ایم. برخی از جالب ترین موارد در پلتفرم پروژه سائورون موارد زیر می باشد:
- مکانسیم های چندگانه استخراج داده ها، سوار بر پروتکل های شناخته شده.
- دور زدن شبکه های ایزوله از طریق پارتیشن های مخفی روی USB درایوها.
- ربودن LSA ویندوز جهت کنترل دامین سرورهای شبکه.
- اجرای یک موتور برنامه نویسی Lua ثانویه برای نوشته اسکریپت های مخرب سفارشی جهت کنترل کل پلتفرم بدافزار از طریق یک زبان برنامه نویسی سطح بالا.
16- آیا مهاجمان از هرگونه از آسیب پذیری های zero-day استفاده می کنند؟
تا به امروز ما هیچ اکسپلویت zero-day مرتبط با پروژه سائورون را پیدا نکرده ایم.
به هرحال، زمانی که به سیستم های ایزوله شده نفوذ می شود، ساختار فضای حافظه های رمزنگاری شده در USB ها به تنهایی نمی تواند به مهاجمان این قابلیت را بدهد تا سیستم های ایزوله شده را در کنترل خود بگیرند. حتما کامپوننت دیگری مثل اکسپلویت zero-day باید در پارتیشن USB درایو اصلی وجود داشته باشد.
تاکنون ما هیچ اکسپلویت zero-dayجاسازی شده ای در بدنه بدافزاری که آنالیز کرده ایم، پیدا نکرده ایم، و اعتقاد داریم که شاید در یک مورد نادر که کشف آن سخت می باشد، جاسازی شده است.
17- آیا این تهدید فقط برای سیستم عامل ویندوز می باشد؟ چه ورژن هایی از ویندوز مورد هدف می باشند؟
پروژه سائورون روی تمام سیستم عامل های مدرن مایکروسافت ویندوز کار می کند- هر دو نسخه X86 و X64. ما شاهد بودیم که آلودگی به همان کیفیتی که روی Windows XP x86 فعالیت می کرد روی Windows 2012 R2 Server Edition x64 نیز فعال بود.
تا امروز، ما ورژن غیر ویندوزی پروژه سائورون را پیدا نکرده ایم.
18- آیا مهاجمان برای شکار اطلاعات خاصی اقدام کردند؟
پروژه سائورون بطور فعالی در جستجوی اطلاعات درخصوص نرم افزاری سفارشی که کار نگاری شبکه را انجام می دهد، می باشند. این نرم افزار کلاینت-سروری، بطور گسترده ای مورد قبول و استفاده بسیاری از سازمانهای هدف می باشد که از آن در جهت امن کردن ارتباطات، صداها، ایمیل ها، و مبادلات مستندات، استفاده می کنند.
در تعدادی از مواردی که ما آنالیز کردیم، پروژه سائورون ماژول های مخرب خود را درون دایرکتوری نرم افزار سفارشی رمزنگاری شبکه، با نام فایلهای مشابه جهت پنهان سازی، مستقر کرده است و به داده های قابل اجرای درون خود دسترسی دارد. برخی از اسکریپت های Lua استخراج شده نشان می دهد که مهاجمان علاقه زیادی به کامپوننت های نرم افزار، کلیدها، فایل های پیکربندی و مکان های سرورهایی که کار انتقال اطلاعات رمزنگاری شده بین نود ها را انجام می دهند، دارند.
همچنین یکی از پیکربندی های مستقر شده ی پروژه سائورون شامل یک شناساگر خاص منحصر به فرد در شبکه مجازی خود برای سرور نرم افزار رمزنگاری شبکه مورد هدف می باشد. رفتار کامپوننتی که آی پی آدرس سرور را جستجو می کند غیر معمول است. پس از بدست آوردن آی پی، این کامپوننت تلاش می کند از طریق پروتکل خودِ پروژه سائورون با سرور ریموت ارتباط برقرار کند. این نشان می دهد که برخی از سرورهای ارتباطی که نرم افزار رمزنگاری را اجرا می کنند نیز به پروژه سائورون آلوده شده اند.
19- دقیقا چه چیزی از سیستم های مورد هدف سرقت شده است؟
ما پی برده ایم که ماژول های پروژه سائورون قادر به سرقت، داکیومنت ها، ذخیره کلیدهای کیبورد(به منظور دستیابی به پسوردها) و سرقت کلیدهای رمزنگاری از کامپیوترهای آلوده و حافظه های USB، می باشند.
موارد آورده شده در بلاک های زیر که از پروژه سائورون استخراج شده است، نشان دهنده نوع اطلاعات و پسوند فایلهاییست که مهاجمان به دنبال آن بودند:
جالب اینجاست، بیشتر کلمات و پسوندهایی که در بالا آورده شده به زبان انگلیسی می باشند، اما برخی از آنها به زبان ایتالیایی است، مانند: ‘codice’, ‘strCodUtente’ و ‘segreto’.
این موضوع نشان دهنده این است که مهاجمان قصد حمله به هدفهای ایتالیایی زبان داشته اند. با این حال ما تا این لحظه هیچ آگاهی نسبت به قربانیان ایتالیایی پروژه سائورون نداریم.
20- آیا شما چیزی پیدا کرده اید که نشان دهد چه کسی پشت پروژه سائورون است؟
نسبت دادن کاری به دیگران کار سختی است و نسبت دادن یک جاسوسی سایبری به شخصی خاص به ندرت امکان پذیر می باشد. حتی با داشتن شاخص های قوی در مورد اشتباهات آشکار مهاجمان، در این مورد این امکان وجود دارد که مهاجمان با نشان دادن این اهداف، در پی گمراه کردن ما باشند و در واقع دیدگاه ها و منابع گسترده تری در کار باشند. وقتی در حال سروکله زدن با گردانندگان تهدیدهای پیشرفته ای مثل پروژه سائورون هستیم، نسبت دادن آن به شخص خاص به یک مساله غیرقابل حل تبدیل می شود.
21- آیا این حمله توسط یک دولت ساپورت می شود؟
ما فکر می کنیم عملیاتی با این سطح از پیچیدگی که هدف آن سرقت اطلاعات محرمانه و مخفی می باشد، فقط می تواند با حمایت یک دولت خاص اجرا شود.
22- اجرای پروژه ای مانند پروژه سائورون چقدر می تواند هزینه بر باشد؟
لابراتور کسپرسکی اطلاعات دقیقی در این مورد ندارد اما برآورد ما این است که پیاده سازی و اجرای پروژه ای مانند پروژه سائورون نیازمند چندین تیم متخصص می باشد که نیازمند سرمایه چند میلیون دلاری است.
23- پلتفرم پروژه سائورون چطور با سایر تهدیدات در بالاترین سطح مقایسه می شود؟
پروژه سائورن بسیار پیشرفته است و قابل مقایسه با بالاترین سطح از جاسوسی های سایبری می باشد و در کنار Duqu, Flame, Equation, و Reginقرار می گیرد. چه با این جاسوس افزارها ارتباط داشته باشد یا نداشته باشد، مهاجمان پروژه سائورون قطعا از آنها چیزهای زیادی یاد گرفته اند.
بعنوان یادآوری، ما دراینجا بعضی از ویژگی های حملات APT دیگری که، کشف کرده ایم مهاجمان پروژه سائورون با دقت از آن یاد گرفته یا شبیه سازی کرده اند را آورده ایم:
Duqu:
- استفاده از اینترانت C&C ها (جایی که سرورهای هدفِ در معرض خطر ممکن است بعنوان C&C های مستقل عمل کنند)
- اجرا شدن فقط بر روی مموری(مانداگای روی تعداد کمی از gateway های میزبان)
- استفاده از متدهای رمزنگاری متفاوت برای هر قربانی
- استفاده از پایپ های نامگذاری شده برای ارتباط با LAN
- انتشار بدافزار از طریق کانال های استقرار نرم افزاری مجاز
Flame:
- کدهای جاسازی شده ی Lua
- حذف ایمن فایل(از طریق از بین بردن داده ها)
- حمله به سیستم های ایزوله و متصل نشده به اینترنت از طریق دستگاه های قابل حمل
Equation و Regin:
- استفاده از سیستم رمزنگاری RC5/RC6
- فایل سیستم های مجازی(VFS)
- حمله به سیستم های ایزوله و متصل نشده به اینترنت از طریق دستگاه های قابل حمل
- ذخیره سازی داده ها پنهان در دستگاه های قابل حمل
همچنین موارد زیر نشان می دهد در پروژه های قبلی چه چیزهایی باعث شد آنها در معرض خطر قرار بگیرند، و پروژه سائورون تمام تلاش خود را در جهت رفع این مشکلات انجام داد:
- استفاده از مکانهای آسیب پذیر یا ماندگار برای C&C ها
- استفاده مجدد از نام ISP، IP، دامنه و ابزارها در سایر کمپین ها
- استفاده مجدد از الگوریتم رمزگذاری(و همچنین کلیدهای رمزنگاری)
- بجای گذاشتن رد پای قانونی بر روی دیسک
- مهرهای زمانی بر روی بسیاری از کامپوننت ها
- استخراج حجم بالایی از داده ها
بعلاوه این نشان می دهد که مهاجمان توجه ویژه ای به آنچه ما به عنوان شاخص امنیت در نظر داریم، داشتند و طرح ریزی منحصر به فردی را برای هریک از اهداف مورد حمله خود پیاده سازی کرده اند. این خلاصه ای از استراتژی پروژه سائورون بود که ما دیدیم. مهاجمان بطور واضحی متوجه هستند که ما بعنوان محققان امنیتی، بدنبال الگوها و طرح ها هستیم. حذف الگوها و عملیات، شناسایی را سخت تر می کند. ما از بیش از 30 سازمان که مورد حمله واقع شده اند آگاه شده ایم اما به خوبی می دانیم که این تازه نوک کوچکی از کوه یخی است که از آب بیرون زده باشد.
24- آیا محصولات کسپرکی تمام انواع این بدافزار را شناسایی می کند؟
تمام محصولات کسپرسکی نمونه های پروژه سائورون را با عنوان HEUR:Trojan.Multi.Remsec.gen شناسایی می کنند.
25- آیا شاخص هایی جهت شناسایی نفوذ این بدافزار برای کمک به قربانیان وجود دارد؟
تاکتیک های پروژه سائورون برای جلوگیری از ایجاد هرگونه الگو طراحی شده اند. کامپوننت ها و زیر ساخت ها برای هریک از هدفهای جداگانه، سفارشی شده اند و هرگز از آنها استفاده مجدد نمی شود – بنابراین رویکرد های امنیتی استاندارد جهت شناسایی کمتر بکار می آید.
به هرحال شباهت ساختار کدها اجتناب ناپذیر است، بخصوص در مورد کدهای رمزنگاری نشده. این موضوع امکان شناسایی کدها را در مواردی می دهد.
به همین دلیل، درکنار شاخص های شناسایی رسمی، ما قوانین YARA را نیز اضافه کرده ایم، قوانین YARA می توانند کمک بزرگی در شناسایی آثار پروژه سائورون کنند.
پی نوشت: YARA ابزاریست در جهت کشف فایل های مخرب یا الگوهای فعالیت های مشکوک روی سیستم های متصل در شبکه ها. قوانین YARA اساساً رشته ها را بررسی می کنند – این ابزار به تحلیلگران در پیدا کردن نمونه های بدافزارهای گروه بندی شده و ترسیم خطوط ارتباطی بین آنها در جهت آشنایی و کشف این بدافزارها کمک می کنند زیرا در غیر اینصورت آنها مخفی خواهند ماند.
ما قوانین YARA خود را براساس نمونه های کوچک و عجیب غریبی که مهاجمان از آنها استفاده می کنند آماده کرده ایم. این قوانین می توانند در جهت اسکن شبکه ها و سیستم ها برای اینگونه الگوهای عجیب مورد استفاده قرار بگیرند. چنانچه برخی از این نمونه های عجیب در اسکن ها مشاهده شود این امکان وجود دارد که سازمان به این بدافزار آلوده شده باشد.
اطلاعات بیشتر در مورد پروژه سائورون برای مشتریان خدمات گزارش اطلاعات کسپرسکی موجود است. برای کسب اطلاعات بیشتر با ایمیل intelreports@kaspersky.com در ارتباط باشید
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.