In september 2015 signaleerde Kaspersky Labs Anti-Targeted Attack Platform een ongewone functie in het netwerk van de organisatie van een klant. De afwijking leidde onderzoekers naar 'ProjectSauron', een door een staat gesponsorde cybercampagne die overheidsorganisaties aanvalt met een voor elk slachtoffer unieke set tools, wat traditionele Indicators of Compromise (IoC) nagenoeg nutteloos maakt. Het doel van de aanvallen lijkt voornamelijk cyberspionage te zijn.
ProjectSauron is met name geïnteresseerd in het verkrijgen van toegang tot versleutelde communicatie. Hierop jaagt het met behulp van een geavanceerd modulair cyberspionageplatform dat een set unieke tools en technieken bevat. Het meest opvallende kenmerk van ProjectSauron’s tactiek is het bewust vermijden van patronen: ProjectSauron past implantaten en infrastructuur aan op elk individueel doelwit en gebruikt deze nooit opnieuw. Deze aanpak, in combinatie met meerdere routes voor de exfiltratie van gestolen gegevens, zoals legitieme e-mail kanalen en DNS, stelt ProjectSauron in staat om heimelijke, langlopende spionagecampagnes uit te voeren in de aangevallen netwerken.
ProjectSauron geeft de indruk een ervaren en traditionele actor te zijn, die zich aanzienlijk heeft ingespannen om te leren van andere uiterst geavanceerde actoren, waaronder Duqu,Flame, Equation en Regin. Het neemt enkele van hun meest innovatieve technieken over en verbetert hun tactieken om onopgemerkt te blijven.
Belangrijkste kenmerken
De volgende ProjectSauron tools en technieken zijn vooral van belang:
Geografie/slachtofferprofiel
Tot op heden zijn meer dan 30 getroffen organisaties geïdentificeerd, waarvan de meeste zijn gevestigd in de Russische Federatie, Iran, Rwanda en wellicht in een aantal Italiaanssprekende landen. Waarschijnlijk hebben de aanvallen zich echter uitgestrekt tot veel meer organisaties en regio's. Vanwege de aard van ProjectSauron’s operaties is het echter uiterst lastig om elke nieuw aangevallen organisatie te ontdekken.
Op basis van onze analyse spelen de aangevallen organisaties over het algemeen een belangrijke rol bij het verstrekken van staatsdiensten, zoals:
Forensische analyses duiden er op dat ProjectSauron sinds juni 2011 operationeel is en ook in 2016 nog altijd actief is. De aanvankelijke infectievector die door ProjectSauron werd gebruikt om de netwerken van slachtoffers binnen te dringen, blijft onbekend.
"Een aantal gerichte aanvallen vertrouwt nu op goedkope, gemakkelijk verkrijgbare tools. ProjectSauron, daarentegen, is een van degene die op zelfgemaakte, vertrouwde tools en aanpasbare gescripte code vertrouwt. Het eenmalig gebruik van unieke Indicators of Compromise, zoals Command and Control server, encryptiesleutels en meer, en daarnaast het overnemen van geavanceerde technieken van andere dreigingsactoren, is vrij nieuw. De enige manier om dergelijke dreigingen te weerstaan, is het gebruik van vele beveiligingslagen die zelfs de geringste afwijkingen in de werkstroom van de organisatie bewaken, aangevuld met dreigingsinlichtingen en forensische analyse om te jagen op patronen, zelfs als die er niet lijken te zijn", aldus Vitaly Kamluk, Principal Security Researcher bij Kaspersky Lab.
De kosten, complexiteit, volharding en het uiteindelijke doel van de operatie - het stelen van vertrouwelijke en geheime informatie van staatsgevoelige organisaties -, suggereren de betrokkenheid of ondersteuning van een staat.
Beveiligingsdeskundigen van Kaspersky Lab adviseren organisaties een grondige audit uit te voeren van hun IT-netwerken en eindpunten, en de volgende maatregelen te implementeren:
Het volledige rapport over ProjectSauron is van tevoren beschikbaar gesteld aan klanten van Kaspersky Lab APT Intelligence rapportageservice. Meer informatie op:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting
Inbreukindicatoren en YARA-regels zijn beschikbaar.
Alle Kaspersky Lab-producten detecteren ProjectSauron-samples als HEUR:Trojan.Multi.Remsec.gen
Lees voor meer informatie over ProjectSauron de blogpost op Securelist.com
Lees hier meer over hoe de Kaspersky Lab-producten gebruikers tegen deze dreiging kunnen beschermen.