O ProjectSauron pretende maioritariamente ganhar acesso a comunicações encriptadas, através de uma plataforma modular avançada de ciberespionagem que incorpora técnicas e ferramentas únicas. A característica mais destacada no ProjectSauron é o facto de evitar deliberadamente o uso de padrões: o ProjectSauron personaliza a forma de implementação e as infraestruturas para cada alvo individual e nunca as reutiliza. Esta abordagem, aliada às várias rotas para a exfiltração de dados roubados, tais como canais de e-mail legítimos e DNS, é o que permite ao Project Sauron conduzir campanhas secretas e a longo prazo em determinadas redes alvo.

O Project Sauron parece ser um ator experiente que aprendeu com outros atores muito avançados, incluindo Duqu, Flame, Equation e Regin, adotando grande parte das suas técnicas inovadoras e melhorando outras, de forma a permanecer sem ser descoberto.

 

Principais características - ferramentas e técnicas do ProjectSauron a destacar:

• Unique footprint: Os core implants têm diferentes nomes e tamanhos individualmente criados para cada alvo – o que torna a deteção muito difícil, uma vez que os mesmos indicadores de compromisso básicos não teriam praticamente qualquer valor para outro objetivo.

• Memória: O núcleo dos implantes faz uso de comandos de atualizações de software legítimos e trabalha como um backdoor, fazendo download de novos módulos e executando os comandos do atacante apenas na memória.

• Tendência para cripto-comunicações: o ProjectSauron procura de forma ativa informação relacionada com um software de rede encriptado e personalizado bastante raro. Este software de cliente-servidor é muito utilizado por várias organizações como forma de manter a comunicação protegida: voz, email e troca de documentos. Os atacantes estão particularmente interessados nas componentes de cripto-software, chaves, ficheiros de configuração, e na localização de servidores que transmitem mensagens encriptadas entre os nós.

• Flexibilidade de scripts: ProjectSauron põe em marcha um conjunto de ferramentas de baixo nível que estão organizados pelos scripts LUA de alto nível. O uso de componentes LUA no malware é muito estranho – foi apenas visto anteriormente nos ataques Flame e Animal Farm.

• Sem passar por air-gaps: ProjectSauron usa suportes USB especialmente preparados para saltar entre redes air-gap. Estes suportes têm compartimentos escondidos onde os dados roubados ficam armazenados de forma oculta.

• Mecanismos de exfiltração múltipla: ProjectSauron implementa um conjunto de rotas para exfiltração de dados, incluindo canais legítimos como email e DNS, que levam informação roubada da vítima copiada no tráfego do dia-a-dia.

 

Geografia / perfil da vítima

Até à data, foram identificadas mais de 30 organizações vítimas, na Rússia, Irão e Ruanda, e pode haver mais em países de língua italiana. Acreditamos que muitas mais organizações e geografias poderão ser afetadas.

Com base na nossa análise, as organizações-alvo são geralmente muito importantes na prestação de serviços de Estado e incluem :

• Governo
• Militares
• Centros de investigação científica
• Operadores de telecomunicações
• Organizações financeiras

A análise forense indica que o ProjectSauron está operacional desde junho de 2011, e permanece ativo em 2016. O vetor inicial de infeção usado pelo ProjectSauron para entrar nas redes das vítimas permanece desconhecida.

“Alguns ataques dirigidos têm por base ferramentas low cost e prontas para serem utilizadas. ProjectSauron, pelo contrário, é uma das que assentam em ferramentas homemade, de confiança, com códigos personalizáveis. O uso indicadores exclusivos, como o servidor de controlo, chaves de encriptação e outras coisas, a juntar ao uso de técnicas de vanguarda de outros atores de maior ameaça, é uma novidade. A única maneira de resistir a tais ameaças é ter muitas camadas de segurança, assentes numa cadeia de sensores a monitorizar a mínima anomalia, multiplicado com uma análise forense e intelligence para identificar padrões, mesmo quando parece não haver nenhum”, refere Vitaly Kamluk, Investigador Principal de Segurança na Kaspersky Lab.

O custo, complexidade, persistência e objetivo final da operação são claros: roubar informação confidencial e secreta de organizações afetas ao Governo, sugerindo o apoio ou envolvimento de um Estado nação.

Os peritos de segurança da Kaspersky aconselham as organizações a fazer uma auditoria completa às suas redes TI e terminais e que implementem as seguintes medidas:

 

• Instalar uma solução contra ameaças dirigidas, aliadas à proteção já existente ou não nos terminais.  A proteção de terminais em si só não é suficiente para suportar a próxima geração de atores ameaça.
• Chamar os peritos se for detetada uma anomalia. As soluções mais avançadas de segurança estarão aptas a identificar um ataque ainda que ainda esteja a decorrer, e os profissionais de segurança são muitas vezes os únicos que podem efetivamente bloquear, mitigar e analisar os grandes ataques.
• Juntar ao acima sugerido serviços de inteligência, que permitam informar as equipas de segurança quanto às últimas evoluções no panorama das ameaças, tendências de ataques, e sinais para os quais deve estar alerta.
• E, por fim, uma vez que muitos dos ataques maiores começam com spear-phishing ou outra abordagem aos empregados, confirme que o seu staff entende e leva a cabo um comportamento cibernético responsável.  

O relatório completo sobre o ProjectSauron foi disponibilizado previamente a clientes da Kaspersky Lab APT Intelligence.