ProjectSauron: o malware que se esconde há quase 5 anos

Em setembro de 2015, a plataforma da Kaspersky contra ataques direcionados identificou um protótipo com uma característica incomum dentro da rede de um cliente. A anomalia conduziu os investigadores ao ProjectSauron um ator de ameaça Estado-nação que ataca organizações estatais com um conjunto exclusivo de ferramentas para cada vítima.

O ProjectSauron pretende maioritariamente ganhar acesso a comunicações encriptadas, através de uma plataforma modular avançada de ciberespionagem que incorpora técnicas únicas.

O malware tem como alvos preferenciais os governos, instituições militares, centros de investigação científica e as organizações financeiras. Até à data, foram identificadas mais de 30 organizações vítimas, na Rússia, Irão e Ruanda, e pode haver mais em países de língua italiana.

O Project Sauron parece ser um ator experiente que aprendeu com outros atores muito avançados, incluindo Duqu, Flame, Equation e Regin, adotando grande parte das suas técnicas inovadoras e melhorando outras, de forma a permanecer sem ser descoberto. De acordo com a  Kaspersky Lab os casos de ProjectSauron foram detetados como HEUR:Trojan.Multi.Remsec.gen.

A característica mais destacada no ProjectSauron é o facto de evitar deliberadamente o uso de padrões, personalizando a forma de implementação e as infraestruturas para cada alvo individual, dificultando, assim, a sua deteção.

“Alguns ataques dirigidos têm por base ferramentas low cost e prontas para serem utilizadas. ProjectSauron, pelo contrário, é uma das que assentam em ferramentas homemade, de confiança, com códigos personalizáveis. O uso indicadores exclusivos, como o servidor de controlo, chaves de encriptação e outras coisas, a juntar ao uso de técnicas de vanguarda de outros atores de maior ameaça, é uma novidade. A única maneira de resistir a tais ameaças é ter muitas camadas de segurança, assentes numa cadeia de sensores a monitorizar a mínima anomalia, multiplicado com uma análise forense e intelligence para identificar padrões, mesmo quando parece não haver nenhum”, indicou em comunicado Vitaly Kamluk, Investigador Principal de Segurança na Kaspersky Lab.

Eis as principais características do ProjectSauron:

• Unique footprint: Os core implants têm diferentes nomes e tamanhos individualmente criados para cada alvo – o que torna a deteção muito difícil, uma vez que os mesmos indicadores de compromisso básicos não teriam praticamente qualquer valor para outro objetivo.

• Memória: O núcleo dos implantes faz uso de comandos de atualizações de software legítimos e trabalha como um backdoor, fazendo download de novos módulos e executando os comandos do atacante apenas na memória.

• Tendência para cripto-comunicações: o ProjectSauron procura de forma ativa informação relacionada com um software de rede encriptado e personalizado bastante raro. Este software de cliente-servidor é muito utilizado por várias organizações como forma de manter a comunicação protegida: voz, email e troca de documentos. Os atacantes estão particularmente interessados nas componentes de cripto-software, chaves, ficheiros de configuração, e na localização de servidores que transmitem mensagens encriptadas entre os nós.

• Flexibilidade de scripts: ProjectSauron põe em marcha um conjunto de ferramentas de baixo nível que estão organizados pelos scripts LUA de alto nível. O uso de componentes LUA no malware é muito estranho – foi apenas visto anteriormente nos ataques Flame e Animal Farm.

• Sem passar por air-gaps: ProjectSauron usa suportes USB especialmente preparados para saltar entre redes air-gap. Estes suportes têm compartimentos escondidos onde os dados roubados ficam armazenados de forma oculta.

• Mecanismos de exfiltração múltipla: ProjectSauron implementa um conjunto de rotas para exfiltração de dados, incluindo canais legítimos como email e DNS, que levam informação roubada da vítima copiada no tráfego do dia-a-dia.

Os peritos de segurança da Kaspersky aconselham as organizações a fazer uma auditoria completa às suas redes TI e terminais e que implementem as seguintes medidas:

• Instalar uma solução contra ameaças dirigidas, aliadas à proteção já existente ou não nos terminais. A proteção de terminais em si só não é suficiente para suportar a próxima geração de atores ameaça.
• Chamar os peritos se for detetada uma anomalia. As soluções mais avançadas de segurança estarão aptas a identificar um ataque ainda que ainda esteja a decorrer, e os profissionais de segurança são muitas vezes os únicos que podem efetivamente bloquear, mitigar e analisar os grandes ataques.
• Juntar ao acima sugerido serviços de inteligência, que permitam informar as equipas de segurança quanto às últimas evoluções no panorama das ameaças, tendências de ataques, e sinais para os quais deve estar alerta.
• E, por fim, uma vez que muitos dos ataques maiores começam com spear-phishing ou outra abordagem aos empregados, confirme que o seu staff entende e leva a cabo um comportamento cibernético responsável.