اخبار فناوری اطلاعات
پروژه سائورون: جاسوسافزاری در بالاترین سطح که سالها مخفی ماند!
در سالهای اخیر گزارشهای رسانهای مربوط به حملات APT بهطور قابل ملاحظهای افزایش یافته است. گرچه نام بردن APT یا همان “تهدیدهای پیشرفته و مستمر” برای بسیاری از این گزارشات بزرگنمایی میباشد. اما با ذکر استثناهایی؛ تعداد کمی از این حملاتی که معمولا در رسانهها گزارش شده است بسیار پیشرفته بوده است.
این استثناها که به اعتقاد ما نشاندهندهها اوج جاسوسی سایبری میباشند شامل Equation، Regin، Duqu یا Careto میباشند که واقعا تهدیدهای پیشرفتهای بودند. دیگر مثال پلتفرم جاسوسی استثنایی “پروژه سائورون” میباشد که بعنوان استرایدر(Strider) شناخته شده است.
یک تهدید پیشرفته واقعی برای اینکه تبدیل به یک APT شود از چه چیزهایی تشکیل شده است؟ در اینجا تعدادی از ویژگیهای بالاترین گروههای جاسوسی سایبری مشخص شده است:
– سو استفاده کردن از اکسپلویتها
– انتقال آلودگی از طریق عوامل شناسایینشده
– به خطر انداختن سازمانهای دولتی و حکومتی در چند کشور
– سرقت اطلاعات به مدت طولانی، پیش از شناسایی
– توانایی سرقت اطلاعات از شبکههایی که به اینترنت وصل نیستند
– پشتیبانی از کانالهای متعدد خروج مخفیانه در پروتکلهای مختلف
– ماژولهای بدافزاری که می توانند بدون حضور در دیسکها در حافظه سیستم باقی بمانند
– تکنیکهای ماندگاری غیرمعمولی که گاهی از ویژگیهای داکیومنت نشده سیستم عامل استفاده میکنند
“پروژه سائرون” به سادگی بسیاری از این ویژگیها را داراست.
از کشف تا شناسایی:
زمانی که صحبت از ماندگاری طولانی مدت پروژههای جاسوسی سایبری میشود بسیاری از مردم از اینکه چرا کشف این جاسوسیها انقدر طول می کشد تعجب میکنند. شاید یکی از جوابها نداشتن ابزار مناسب برای این کار میباشد. تلاش برای به دام انداختن بدافزارهای در رده دولتی و نظامی نیازمند محصولات و تکنولوژیهای تخصصی میباشد.
یکی از این محصولات KATA یا پلتفرم ضد حملات هدفمند کسپرسکی (Kaspersky’s AntiTargeted Attacks Platform) میباشد. در ماه سپتامبر ۲۰۱۵ تکنولوژیهای ضد حملات هدفمند ما توانستند حمله ناشناختهای را شناسایی کنند. ماژول مشکوک، یک library قابل اجرا بود که بر روی حافظه دامین کنترلر ویندوز لود شده بود.
این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به دادههای حساس مثل پسوردهای ادمین و متنهای کدگذارینشده دسترسی داشت. تحقیقات بیشتر ما نشانههایی از فعالیتهای بزرگ یک تهدید جدید موسوم به “پروژه سائورون” که قابلیت حملات گسترده به نهادهای دولتی کلیدی در چندین کشور دارد را برملا ساخت.
پروژه سائورون که ازنظر پیچیدگیهای فنی بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار را شامل میشود، جهت قادر ساختن کمپینهای طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متدهای گوناگون خروج اطلاعات طراحی شده است. جزئیات فنی نشان میدهد که مهاجمان چطور از پروژههای بسیار پیشرفته قبلی درس گرفتهاند تا اشتباهات آنها را تکرار نکنند.
برخی از دیگر ویژگیهای کلیدی پروژه سائورون:
– از یک پلتفرم ماژولار است که جهت قادر ساختن کمپینهای جاسوسی سایبری طولانی مدت طراحی شده است.
– تمامی ماژولها و پروتوکلهای شبکه از الگوریتمهای رمزگذاری بسایر قوی مانند؛ RC6 RC5, RC4, AES, Salsa20 و … استفاده میکنند.
– برای پیادهسازی هسته پلتفرم و پلاگینهایش از موتور برنامهنویسی Lua اصلاح شده استفاده میکند.
– از بیش از ۵۰ نوع مختلف پلاگین بهره میبرد.
– گرداننده این پروژه از از نرمافزار رمزگذاری مخابراتی که بهطور گستردهای توسط سازمانهای دولتی مورد هدف استفاده میشود، بهره می برد، که می تواند کلیدهای رمزگذاری، فایلهای پیکربندی، و آیپی آدرسهای سرورهای کلیدی مرتبط با نرمافزار رمزگذاری را سرقت کند.
– قادر است اطلاعات را از طریق حافظه یو اس بی آلودهای که دادههای آن در قسمتی که برای سیستم عامل غیرقابل رویت میباشد، ذخیره شده است، از شبکههایی که به اینترنت وصل نیستند سرقت کند.
– این پلتفرم بهطور وسیعی از پروتکل DNS جهت سرقت اطلاعات و گزارشات لحظهای سیستم استفاده میکند.
– این پروژه از سال ۲۰۱۱ شروع به فعالیت کرده و تا اپریل ۲۰۱۶ فعال بوده است.
– نخستین عامل انتقال آلودگی که به شبکه قربانیان نفوذ کرد ناشناخته باقی مانده است.
– مهاجمان از طریق کانالهای قانونی توزیع نرمافزار برای انتقال از طریق شبکههای آلوده شده استفاده میکنند.
برای اینکه به کسانی که این مطلب را میخوانند کمک کنیم پلتفرم “پروژه سائورون” را بهتر بشناسند، لیستی از پرسش و پاسخهای سودمندی که شامل مهمترین نکات مربوط به مهاجمان و ابزارهای مقابله با آن میباشد آماده کرده ایم.
همچنین همکاران ما در شرکت سیمانتک آنالیزهای خود در مورد پروژه سائورون را منتشر کردهاند که از طریق لینک زیر می توانید به آن دسترسی داشته باشید:
http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets
پرسش و پاسخها در مورد پروژه سائورون
۱- پروژه سائورون چیست؟
پروژه سائورون نامیست برای بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار، که جهت قادر ساختن کمپینهای طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متدهای گوناگون خروج اطلاعات طراحی شده است.
جزئیات فنی نشان می دهد که مهاجمان چطور از پروژههای بسیار پیشرفته قبلی درس گرفت اند تا اشتباهات آنها را تکرار نکنند.
حملات APT معمولا برای استخراج اطلاعات از یک منطقه و یا یک صنعت خاص طرح ریزی میشوند. که به آلوده کردن چندین کشور در آن منطقه و یا صنعت هدف گذاری شده در سرتاسر دنیا می انجامد. جالب توجه است که پروژه سائورون صرفا برای تعدادی کشور خاص، با تمرکز بر اطلاعات با ارزش بالا و به خطر انداختن تمام نهادهای کلیدی که در این کشورها وجود دارند، طراحی شده است.
نام پروژه سائورون، نشاندهنده آن است که نویسندگان آن به “سائورون” در زبان برنامه نویس Lua اشاره دارند.
۲- قربانیان این پروژه چه کسانی هستند؟
تحقیقات ما نشان می دهد بیش از ۳۰ سازمان در کشورهای روسیه، ایران، رواندا و احتمالا کشورهای ایتالیای زبان آلوده شدهاند. تعداد زیادی از سازمانها در سایر مناطق جغرافیایی نیز بنظر می رسد آلوده شده باشند.
– دولت ها
– مراکز تحقیقات علمی
– مراکز نظامی
– ارائه دهندگان خدمات مخابراتی
– داراییها
– و …
۳- آیا شما قربانیان را از این موضوع باخبر کردهاید؟
مانند همیشه، آزمایشگاه کسپرسکی بصورت فعال با شرکای صنعتی و سازمانهای اجرای قانون در جهت آگاه سازی قربانیان و کاهش تهدیدات همکاری میکند. ما همچنین روی انتشار اطلاعات از طریق آگاه سازی عمومی حساب باز میکنیم.
۴- مهاجمان برای چه مدت فعال بودهاند؟
تجزیه و تحلیلهای ما نشان می دهد که این پروژه حداقل از ماه جون ۲۰۱۱ تا ۲۰۱۶ فعالیت می کرده است. هرچند بنظر می رسد که تا فعالیتهای آن تا حدود زیادی متوقف شده باشد اما امکان اینکه این جاسوسافزار بر روی سیستمهایی که از راهکارهای کسپرسکی بهره نمی برند فعال باشد وجود دارد.
۵- آیا مهاجمان از تکنیکهای جالب و پیشرفته استفاده کردند؟
مهاجمان چندین تکنیک جالب و غیرممکن را بکار بردند، از جمله:
– استخراج دادهها و گزارشات لحظهای از طریق درخواستهای DNS
– گسترش نفوذ از طریق اسکریپتهای آپدیت نرمافزارهای قانونی
– استخراج دادهها ازشبکههایی که به اینترنت وصل نیستند با استفاده از حافظههای یو اس بی آلوده که اطلاعات سرقت شده در قسمتی از حافظه بلا استفادهها ابزارهای سیستم عامل ذخیره شدهاند.
– استفاده از موتور برنامه نویسی Lua اصلاح شده، برای پیاده سازی هسته پلتفرم و پلاگینهای پروژه. استفاده از کامپوننتهای Lua برای بدافزارها بسیار نادر میباشد – این مورد قبلا در مورد حملات فلیم(Flame) و Animal Farm مشاهده شده است.
۶- شما چطور این بدافزار را کشف کردید؟
در سپتامبر ۲۰۱۵ پلتفرم ضد حملات هدفمند کسپرسکی ترافیک شبکهای غیر عادی را در شبکه یکی از سازمانهای طرف قرارداد خود کشف کرد. آنالیز این رویداد به کشف یک library برنامه قابل اجرای قدرتمندی که در حافظه سرور دامین کنترلر لود می شد، ختم شد. این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به دادههای حساس مثل پسوردهای ادمین و متنهای کدگذاری نشده دسترسی داشت. تحقیقات بیشتر، نشانههایی از فعالیتهای تهدید ناشناخته قبلی را آشکار ساخت.
۷- پروژه سائورون چگونه عمل میکند؟
پروژه سائورون معمولا ماژولهای ماندگار خود را از طریق فیلترهای پسورد LSA(Local Security Authority) ویندوز رجیستر میکند. این ویژگی عموماً توسط system administratorها جهت اجرای policyهای پسورد و اعتبارسنجی پسوردهای جدید از لحاظ برخی الزامات مانند طول و پیچیدگی کلمه عبور، استفاده میشود. با این روش هر زمان که هرکدام از کاربران شبکه و یا سیستمهای لوکال(حتی مدیران شبکه) لاگین کنند یا پسورد خود را تغییر دهند، ماژول “درپشتی” پروژه سائورون فعال میشود و پسوردها را می رباید.
در مواردی که دامین کنترلرها به اینترنت دسترسی ندارند، مهاجمان یک ایمپلنت اضافی بر روی دیگر سرورهای محلی که هم به شبکه محلی و هم به شبکه اینترنت دسترسی دارند و نیز مقدار قابل توجهی از ترافیک شبکه از آنها عبور میکند(مثل پروکسی سرورها، وب سرورها و سرورهای آپدیت نرمافزار)، نصب میکنند. پس از آن، این سرورهای میانی توسط پروژه سائورون بعنوان یک پروکسی-نود مخفی در راستای استخراج بی سروصدای دادهها بصورت ترکیب شده با حجم بالایی از ترافیک معمولی شبکه، مورد سواستفاده قرار می گیرند.
پس از نصب، ماژولهای پروژه سائورون اصلی، بصورت sleeper cells (یک گروه از ماموران مخفی که برای یک دوره طولانی غیر فعال باقی مانده است) شروع بکار میکنند و بدون نشان دادن هیچ فعالیتی از خود منتظر دستور بیدار باشی که از طریق ترافیک شبکه دریافت میکنند، می مانند. این روش، پروژه سائورون را مطمئن میکند که می تواند برای مدتی طولانی روی سرورهای سازمانهای هدف باقی بماند.
۸- پروژه سائورون از چه نوع کامپوننتهایی استفاده میکند؟
بیشتر کامپوننتهای هسته اصلی پروژه سائورون به منظور فعالیت بعنوان درپشتی(back door)، دانلود ماژولهای جدید و یا اجرای فرمانهای مهاجمان، صرفا در حافظه طراحی شدهاند، تنها راه به دام انداختن این ماژولها انجام memory dump(پروسهای که طی آن تمام محتوای حافظه نمایش داده میشود) کامل بر روی سیستم آلوده میباشد.
تقریباً تمام کامپوننتهای هسته اصلی پروژه سائورون منحصر به فرد هستند و دارای اسم و سایزهای متفاوت هستند و هرکدام بصورت مجزا برای هدفی خاص ساخته شدهاند. برچسب زمانی(نشاندهنده زمان فعلی رویدادهای رکورد شده در کامپیوتر) هر ماژول، چه در فایل سیستم و چه در هِدرِ خود ماژول، صرفا جهت محیطی که ماژول در آن نصب شده است طراحی گردیده.
ماژولهای ثانویهها پروژه سائورون برای انجام فعالیتهای خاصی مانند سرقت داکیومنت ها، ذخیره کلیدهای کیبورد(به منظور دستیابی به پسوردها) و سرقت کلیدهای رمزنگاری از کامپوترهای آلوده و حافظههای USB فلش متصل شده، طراحی شدهاند.
پروژه سائورون از طریق سیستم فایل مجازی خود، یک معماری ماژولار پیاده سازی کرده تا بتواند ماژولهای اضافی(پلاگین ها) را ذخیره کرده و مترجم زبان برنامه نویس Lua را برای اجرای اسکریپتهای درونی خود تغییر دهد. این پروژه بیش از ۵۰ نوع مختلف از ماژولها را شامل میشود.
۹- عامل انتقال اولیه چه چیزی بوده است؟
تا به امروز، عامل انتقال اولیهای که پروژه سائورون جهت نفوذ به شبکه قربانیان استفاده کرده است، ناشناس باقی مانده است.
۱۰- ماژولهای پروژه سائورون چگونه در شبکه هدف مستقر شدند؟
در بسیاری از موارد، ماژولهای پروژه سائورون از طریق تغییر اسکریپتهایی که system administratorها برای انجام آپدیتهای معمول نرمافزاری در شبکه استفاده می کردند، مستقر می شدند.
در اصل، مهاجمان یک فرمان، جهت فعال کردن بدافزار با تغییر اسکریپت نرمافزار موجود، تزریق می کردند. بدافزار تزریق شده، یک ماژول کوچک است که بعنوان یک دانلودر ساده کار میکند.
هنگامی که اکانت مدیر شبکه استارت شود، این دانلودر بهآیپی آدرسهای داخلی و خارجی متصل میشود و شروع به دانلود دادههای اصلی و بزرگ مورد هدف پروژه سائورون میکند.
در مواردی که پروژه سائورون محتوای پایدار خود را بر روی دیسک در فرمت exe ذخیره میکند، آنها را از طریق نامگذاری با اسم نرمافزارهای مجاز و معمولی موجود در سیستم پنهان میکند.
۱۱- مهاجمان از چه زیرساختی استفاده می کردند؟
گرداننده پروژه سائورون زمانی که وارد این عملیات امنیتی شد، بسیار آماده بود. اجرای یک کمپین جاسوسی سایبری مانند پروژه سائورون نیازمند زیرساختهای سروری و دامنههای منحصر به فردیست که برای هریک از سازمانهای قربانی اختصاص یافته و دیگر استفاده نخواهد شد. این عملیات باعث میشود شبکههای مبتنی بر شاخصهای قدیمی بلااستفاده شوند زیرا آنها دیگر در هیچ سازمانی استفاده نخواهند شد.
ما ۲۸ دامنه متصل به ۱۱آی.پی که در ایالات متحده و چندین کشور اروپایی که ممکن بود به کمپین پروژه سائورون متصل باشند را جمع آوری کرده ایم. حتی تنوع ISPهای انتخاب شده توسط عملیات پروژه سائورون نشاندهنده این است که گرداننده این پروژه برای جلوگیری از لو رفتن طرح خود همه چیز را فراهم کرده بود.
۱۲- آیا هدف پروژه سائورون شبکههای ایزوله(غیر متصل به اینترنت) است؟
بله، ما چند مورد از شبکههای ایزولهای که پروژه سائورون موفق به نفوذ به آنها شده بود را ثبت کردیم.
ابزارهای پروژه سائورون شامل ماژولهای خاصی میشود که جهت انتقال دادهها از شبکههای ایزوله به سیستمهای متصل به اینترنت، طراحی شدهاند. برای دستیابی به این هدف، از حافظههای USB استفاده شده است. همینکه سیستمهای شبکه در معرض خطر قرار گرفتند، مهاجمان منتظر اتصال یک حافظه USB به ماشینهای آلوده می مانند.
این USBها بهطور خاص جهت کاهش سایز پارتیشن روی دیسک USB، رزرو مقداری داده پنهان(چند صد مگابایت) در انتهای دیسک جهت اهداف خرابکارانه، فرمت شدهاند. این فضای رزرو شده جهت ایجاد یک پارتیشن رمزنگاری شدهها خاص استفاده شده است که توسط سیستم عاملهای رایج مثل سیستم عامل ویندوز، غیر قابل شناسایی میباشد. این پارتیشن، فایل سیستم(یا سیستم فایل مجازی) خاص خود را داراست. با دو دایرکتوری اصلی: “IN” و “OUT”.
این متد همچنین نرمافزارهای DLP(جلوگیری از نشت داده ها) زیادی را دور میزند. از آنجایی که این نرمافزارها اتصال USBهای ناشناخته را بر مبنای شناسه دستگاه(DeviceID) غیرفعال میکنند و از این طریق جلوی حملات و نشت دادهها را می گیرند، این پروژه از USBهای به رسمیت شناخته شده استفاده میکند.
۱۳- آیا پروژه سائورون زیرساختهای حیاتی را مورد هدف قرار می دهد؟
برخی از نهادهایی که آلوده شدهاند می توانند در گروه زیرساختهای حیاتی قرار بگیرند. به هرحال، ما شبکههای سیستم کنترل صنعتی که دارای سیستم SCADA بودند را بعنوان مراکز آلوده شده به پروژه سائورون ثبت نکردیم.
همچنین ما هنوز ندیده ایم که ماژولهای پروژه سائورون صنعتهای نرمافزاری و سختافزاری را هدف گیری کرده باشند.
۱۴- پروژه سائورون از متدهای ارتباطی خاصی استفاده کرده است؟
در مورد ارتباطات شبکه ای، ابزارهای پروژه سائورون قابلیتهای گستردهای دارند، بیشتر نفوذهای معمولی با استفاده از پروتکلهای ICMP, UDP, TCP, DNS, SMTP و HTTP صورت گرفت.
یکی از پلاگینهای پروژه سائورون، ابزار انتقال دادههای DNS میباشد. برای جلوگیری از تشخیص توسط تونلهای DNS در سطح شبکه، مهاجمان آن را از طریق حالت پهنای باند کم به کار بردند، به همین دلیل بود که این ابزار فقط برای سرقت ابردادههای سیستمهای هدف، بکار برده شد.
دیگر ویژگی جالب بدافزار پروژه سائورون که از طریق آن توانست به پروتوکل DNS نفوذ کند، گزارش آنی پیشرفت عملیات به سیستم ریموت میباشد. به محض اینکه نقطه عطفی در عملیات بدست می آمد، پروژه سائورون یک درخواست DNS به یک دامین منحصر بفرد ویژه به هریک از اهداف میفرستد.
۱۵- پیچیدهترین ویژگی پروژه سائورون چیست؟
در کل، پلتفرم پروژه سائورون بسیار پیشرفته است و سطح پیچیدگی و تهدید آن را در همین مطلب اعلام کرده ایم. برخی از جالب ترین موارد در پلتفرم پروژه سائورون موارد زیر میباشد:
– مکانسیمهای چندگانه استخراج داده ها، سوار بر پروتکلهای شناخته شده.
– دور زدن شبکههای ایزوله از طریق پارتیشنهای مخفی روی USB درایوها.
– ربودن LSA ویندوز جهت کنترل دامین سرورهای شبکه.
– اجرای یک موتور برنامه نویسی Lua ثانویه برای نوشته اسکریپتهای مخرب سفارشی جهت کنترل کل پلتفرم بدافزار از طریق یک زبان برنامه نویسی سطح بالا.
۱۶- آیا مهاجمان از هرگونه از آسیب پذیریهای zero-day استفاده میکنند؟
تا به امروز ما هیچ اکسپلویت zero-day مرتبط با پروژه سائورون را پیدا نکرده ایم.
به هرحال، زمانی که به سیستمهای ایزوله شده نفوذ میشود، ساختار فضای حافظههای رمزنگاری شده در USBها به تنهایی نمی تواند به مهاجمان این قابلیت را بدهد تا سیستمهای ایزوله شده را در کنترل خود بگیرند. حتما کامپوننت دیگری مثل اکسپلویت zero-day باید در پارتیشن USB درایو اصلی وجود داشته باشد.
تاکنون ما هیچ اکسپلویت zero-dayجاسازی شدهای در بدنه بدافزاری که آنالیز کرده ایم، پیدا نکرده ایم، و اعتقاد داریم که شاید در یک مورد نادر که کشف آن سخت میباشد، جاسازی شده است.
۱۷- آیا این تهدید فقط برای سیستم عامل ویندوز میباشد؟ چه ورژنهایی از ویندوز مورد هدف میباشند؟
پروژه سائورون روی تمام سیستم عاملهای مدرن مایکروسافت ویندوز کار میکند- هر دو نسخه X۸۶ و X۶۴. ما شاهد بودیم که آلودگی به همان کیفیتی که روی Windows XP x۸۶ فعالیت می کرد روی Windows ۲۰۱۲ R۲ Server Edition x۶۴ نیز فعال بود.
تا امروز، ما ورژن غیر ویندوزی پروژه سائورون را پیدا نکردهایم.
۱۸- آیا مهاجمان برای شکار اطلاعات خاصی اقدام کردند؟
پروژه سائورون بهطور فعالی در جستجوی اطلاعات درخصوص نرمافزاری سفارشی که کار نگاری شبکه را انجام می دهد، میباشند. این نرمافزار کلاینت-سروری، بهطور گستردهای مورد قبول و استفاده بسیاری از سازمانهای هدف میباشد که از آن در جهت امن کردن ارتباطات، صداها، ایمیل ها، و مبادلات مستندات، استفاده میکنند.
در تعدادی از مواردی که ما آنالیز کردیم، پروژه سائورون ماژولهای مخرب خود را درون دایرکتوری نرمافزار سفارشی رمزنگاری شبکه، با نام فایلهای مشابه جهت پنهان سازی، مستقر کرده است و به دادههای قابل اجرای درون خود دسترسی دارد. برخی از اسکریپتهای Lua استخراجشده نشان میدهد که مهاجمان علاقه زیادی به کامپوننتهای نرمافزار، کلیدها، فایلهای پیکربندی و مکانهای سرورهایی که کار انتقال اطلاعات رمزنگاری شده بین نودها را انجام می دهند، دارند.
همچنین یکی از پیکربندیهای مستقر شدهها پروژه سائورون شامل یک شناساگر خاص منحصر به فرد در شبکه مجازی خود برای سرور نرمافزار رمزنگاری شبکه مورد هدف میباشد. رفتار کامپوننتی کهآیپی آدرس سرور را جستجو میکند غیر معمول است. پس از بدست آوردنآیپی، این کامپوننت تلاش میکند از طریق پروتکل خودِ پروژه سائورون با سرور ریموت ارتباط برقرار کند. این نشان می دهد که برخی از سرورهای ارتباطی که نرمافزار رمزنگاری را اجرا میکنند نیز به پروژه سائورون آلوده شدهاند.
۱۹- دقیقا چه چیزی از سیستمهای مورد هدف سرقت شده است؟
ما پی برده ایم که ماژولهای پروژه سائورون قادر به سرقت، داکیومنت ها، ذخیره کلیدهای کیبورد(به منظور دستیابی به پسوردها) و سرقت کلیدهای رمزنگاری از کامپیوترهای آلوده و حافظههای USB، میباشند.
موارد آورده شده در بلاکهای زیر که از پروژه سائورون استخراج شده است، نشاندهنده نوع اطلاعات و پسوند فایلهاییست که مهاجمان به دنبال آن بودند:
جالب اینجاست، بیشتر کلمات و پسوندهایی که در بالا آورده شده به زبان انگلیسی میباشند، اما برخی از آنها به زبان ایتالیایی است، مانند: ‘codice’, ‘strCodUtente’ و ‘segreto’.
این موضوع نشاندهنده این است که مهاجمان قصد حمله به هدفهای ایتالیایی زبان داشتهاند. با این حال ما تا این لحظه هیچ آگاهی نسبت به قربانیان ایتالیایی پروژه سائورون نداریم.
۲۰- آیا شما چیزی پیدا کرده اید که نشان دهد چه کسی پشت پروژه سائورون است؟
نسبت دادن کاری به دیگران کار سختی است و نسبت دادن یک جاسوسی سایبری به شخصی خاص به ندرت امکان پذیر میباشد. حتی با داشتن شاخصهای قوی در مورد اشتباهات آشکار مهاجمان، در این مورد این امکان وجود دارد که مهاجمان با نشان دادن این اهداف، در پی گمراه کردن ما باشند و در واقع دیدگاهها و منابع گسترده تری در کار باشند. وقتی در حال سروکله زدن با گردانندگان تهدیدهای پیشرفتهای مثل پروژه سائورون هستیم، نسبت دادن آن به شخص خاص به یک مساله غیرقابل حل تبدیل میشود.
۲۱- آیا این حمله توسط یک دولت ساپورت میشود؟
ما فکر میکنیم عملیاتی با این سطح از پیچیدگی که هدف آن سرقت اطلاعات محرمانه و مخفی میباشد، فقط می تواند با حمایت یک دولت خاص اجرا شود.
۲۲- اجرای پروژهای مانند پروژه سائورون چقدر می تواند هزینه بر باشد؟
لابراتور کسپرسکی اطلاعات دقیقی در این مورد ندارد اما برآورد ما این است که پیاده سازی و اجرای پروژهای مانند پروژه سائورون نیازمند چندین تیم متخصص میباشد که نیازمند سرمایه چند میلیون دلاری است.
۲۳- پلتفرم پروژه سائورون چطور با سایر تهدیدات در بالاترین سطح مقایسه میشود؟
پروژه سائورن بسیار پیشرفته است و قابل مقایسه با بالاترین سطح از جاسوسیهای سایبری میباشد و در کنار Duqu, Flame, Equation, و Reginقرار می گیرد. چه با این جاسوسافزارها ارتباط داشته باشد یا نداشته باشد، مهاجمان پروژه سائورون قطعا از آنها چیزهای زیادی یاد گرفتهاند.
بعنوان یادآوری، ما دراینجا بعضی از ویژگیهای حملات APT دیگری که، کشف کرده ایم مهاجمان پروژه سائورون با دقت از آن یاد گرفته یا شبیهسازی کردهاند را آوردهایم:
Duqu:
– استفاده از اینترانت C&Cها (جایی که سرورهای هدفِ در معرض خطر ممکن است بعنوان C&Cهای مستقل عمل کنند)
– اجرا شدن فقط بر روی مموری(مانداگای روی تعداد کمی از gatewayهای میزبان)
– استفاده از متدهای رمزنگاری متفاوت برای هر قربانی
– استفاده از پایپهای نامگذاری شده برای ارتباط با LAN
– انتشار بدافزار از طریق کانالهای استقرار نرمافزاری مجاز
Flame:
– کدهای جاسازی شدهها Lua
– حذف ایمن فایل(از طریق از بین بردن داده ها)
– حمله به سیستمهای ایزوله و متصل نشده به اینترنت از طریق دستگاههای قابل حمل
Equation و Regin:
– استفاده از سیستم رمزنگاری RC۵/RC6
– فایل سیستمهای مجازی(VFS)
– حمله به سیستمهای ایزوله و متصل نشده به اینترنت از طریق دستگاههای قابل حمل
– ذخیره سازی دادهها پنهان در دستگاههای قابل حمل
همچنین موارد زیر نشان می دهد در پروژههای قبلی چه چیزهایی باعث شد آنها در معرض خطر قرار بگیرند، و پروژه سائورون تمام تلاش خود را در جهت رفع این مشکلات انجام داد:
– استفاده از مکانهای آسیب پذیر یا ماندگار برای C&Cها
– استفاده مجدد از نام ISP، IP، دامنه و ابزارها در سایر کمپینها
– استفاده مجدد از الگوریتم رمزگذاری(و همچنین کلیدهای رمزنگاری)
– بجای گذاشتن رد پای قانونی بر روی دیسک
– مهرهای زمانی بر روی بسیاری از کامپوننتها
– استخراج حجم بالایی از دادهها
بعلاوه این نشان می دهد که مهاجمان توجه ویژهای به آنچه ما به عنوان شاخص امنیت در نظر داریم، داشتند و طرح ریزی منحصر به فردی را برای هریک از اهداف مورد حمله خود پیاده سازی کردهاند. این خلاصهای از استراتژی پروژه سائورون بود که ما دیدیم. مهاجمان بهطور واضحی متوجه هستند که ما بعنوان محققان امنیتی، بدنبال الگوها و طرحها هستیم. حذف الگوها و عملیات، شناسایی را سخت تر میکند. ما از بیش از ۳۰ سازمان که مورد حمله واقع شدهاند آگاه شده ایم اما به خوبی می دانیم که این تازه نوک کوچکی از کوه یخی است که از آب بیرون زده باشد.
۲۴- آیا محصولات کسپرکی تمام انواع این بدافزار را شناسایی میکند؟
تمام محصولات کسپرسکی نمونههای پروژه سائورون را با عنوان HEUR:Trojan.Multi.Remsec.gen شناسایی میکنند.
۲۵- آیا شاخصهایی جهت شناسایی نفوذ این بدافزار برای کمک به قربانیان وجود دارد؟
تاکتیکهای پروژه سائورون برای جلوگیری از ایجاد هرگونه الگو طراحی شدهاند. کامپوننتها و زیر ساختها برای هریک از هدفهای جداگانه، سفارشی شدهاند و هرگز از آنها استفاده مجدد نمیشود بنابراین رویکردهای امنیتی استاندارد جهت شناسایی کمتر بکار می آید.
به هرحال شباهت ساختار کدها اجتناب ناپذیر است، بخصوص در مورد کدهای رمزنگاری نشده. این موضوع امکان شناسایی کدها را در مواردی می دهد.
به همین دلیل، درکنار شاخصهای شناسایی رسمی، ما قوانین YARA را نیز اضافه کرده ایم، قوانین YARA می توانند کمک بزرگی در شناسایی آثار پروژه سائورون کنند.
پی نوشت: YARA ابزاریست در جهت کشف فایلهای مخرب یا الگوهای فعالیتهای مشکوک روی سیستمهای متصل در شبکه ها. قوانین YARA اساساً رشتهها را بررسی میکنند – این ابزار به تحلیلگران در پیدا کردن نمونههای بدافزارهای گروه بندی شده و ترسیم خطوط ارتباطی بین آنها در جهت آشنایی و کشف این بدافزارها کمک میکنند زیرا در غیر اینصورت آنها مخفی خواهند ماند.
ما قوانین YARA خود را براساس نمونههای کوچک و عجیب غریبی که مهاجمان از آنها استفاده میکنند آماده کرده ایم. این قوانین می توانند در جهت اسکن شبکهها و سیستمها برای اینگونه الگوهای عجیب مورد استفاده قرار بگیرند. چنانچه برخی از این نمونههای عجیب در اسکنها مشاهده شود این امکان وجود دارد که سازمان به این بدافزار آلوده شده باشد.
اطلاعات بیشتر در مورد پروژه سائورون برای مشتریان خدمات گزارش اطلاعات کسپرسکی موجود است. برای کسب اطلاعات بیشتر با ایمیل intelreports@kaspersky.com در ارتباط باشید.
منبع: کسپرسکیآنلاین
منبع : ایتنا