Kaspersky Lab и Symantec Открийте "Проект Саурон" Malware

Изследователите са намерили разширен зловреден софтуер, който може да открадне ключовете за шифроване, да събере информация от компютри с въздушно затваряне и да записва натискането на клавиши на някого, без да бъде открито. Изследователите нямат представа кой е проектирал зловредния софтуер, наречен Project Sauron, но е толкова сложен, че те са убедени, че трябва да бъде организация на “национално ниво”. Вместо да сочи с пръст (или уважавайки Властелинът на пръстените са наричали създателя на проекта Sauron „Strider“.

Проектът Sauron е очертан в два доклада, един от Kaspersky Lab и другият от Symantec.

И двете охранителни фирми се удивляват на неговата сложност:

„Акторът на заплахата зад Project Sauron заповядва на върха на топ-модулната платформа за кибер-шпионаж по отношение на техническата сложност,” пише Kaspersky Lab в статията си за инструмента „Разработен, за да даде възможност за дългосрочни кампании чрез хитрост механизми за оцеляване, съчетани с множество методи за ексфилтрация."

Което означава, че вероятно не е създадена от малка група хора, които правят каквото и да вършат в тази нелепа „хакерска” сцена от Стрелка:

Вместо това, Kaspersky и Symantec смятат, че „Strider“ вероятно е пряко свързан с голямо световно правителство. Двете компании за проучвания в областта на сигурността не сочат с пръст САЩ, но в по-голямата си част целите на проекта Саурон не са приятели на Америка.

Kaspersky Lab откри злонамерен софтуер, който се крие на компютри в Русия, Иран и Руанда; Symantec го намира и на устройства в Белгия, Швеция и Китай. Смята се, че проектът Sauron е насочен към правителствени посолства, телекомуникационни компании, научноизследователски центрове и авиокомпания, наред с други групи.

Проект Sauron отдавна се прикриваше с нищо неподозиращи компютри, научавайки се от своите предшественици като Flame, Duqu и други сложни малуерни програми. Това е изключителен код и Symantec и Kaspersky са сигурни, че „Strider“ се управлява от национално правителство.

„Strider е в състояние да създава персонализирани злонамерени инструменти и работи под радара най-малко пет години“, пише Symantec в своя доклад за сложния зловреден софтуер. "Въз основа на способностите на шпионажа на нейния зловреден софтуер и естеството на неговите познати цели е възможно групата да бъде нападател на национално ниво."

Проект Sauron е създаден, за да се избегне откриването чрез използване на различни размери на файлове, имена и модули за всяка цел, което затруднява изследователите да го идентифицират.

„Нападателите ясно разбират, че ние като изследователи винаги търсим модели. Премахване на моделите и операцията ще бъде по-трудно да се открие ”, пише Kaspersky Lab в своя доклад. "Ние сме запознати с над 30 атакувани организации, но сме сигурни, че това е само малка върха на айсберга"

Това би могло да има сериозни последици за Страйдер, който може да се окаже.Северна Корея е изправена пред огромна реакция, след като бе обвинена в хакване на Sony през 2014 г. и потенциално продължава да се насочва към други групи оттогава.

Ако Стрийдер се окаже американски, това не е първият път, когато САЩ разгърна такъв мащаб. Известният вирус Stuxnet, за който се твърди, че е създаден от САЩ и Израел, нанесе сериозни физически щети на ядрените съоръжения в Иран (претоварен е с някои чувствителни центрофуги и нещата се взривят). Само Иран най-накрая може да отвърне на удара.

Тези инциденти, заедно с много други, повдигат важен въпрос за това къде хакерството пада в мащаба между „престъпление“ и „обявяване на война“. Докато това не бъде решено, всеки хакер е хазарт.

Разбира се, това е вярно само ако създаването на Проект Саурон може да се припише на всяка една национална държава по-специално и това вероятно няма да се случи скоро. Макар че вероятно зад затворени врати има много пръсти, все още няма достатъчно информация за разкриване на Strider. Но проектът Sauron е написан на английски, достатъчно е усъвършенстван, за да избегне учени за пет години и е насочен към хора на важни позиции.

„Приписването е трудно и надеждното приписване рядко е възможно в киберпространството. Дори и с увереност в различни индикатори и очевидни грешки на нападателите, има по-голяма вероятност това да са дим и огледала, създадени от нападател с по-голяма гледна точка и огромни ресурси ”, пише Kaspersky Lab в блог пост. "Когато се занимаваме с най-напредналите актьори на заплахата, какъвто е случаят с Project Sauron, атрибуцията става неразрешим проблем."

Засега Стрийдър ще остане в сенките.