ProjectSauron:

 Spionageplattform extrahiert heimlich verschlüsselte staatliche Kommunikation

- Anfang: Hier könnte Ihre Werbung stehen. - Ende

Moskau/lngolstadt.  – Im September 2015 entdeckte ein Prototyp der Lösung Kaspersky Anti Targeted Attack Platform [1] ein ungewöhnliches Verhalten innerhalb eines Kundennetzwerks. Über die Anomalie stießen die Sicherheitsexperten auf ,ProjectSauron‘ [2]. Bei ProjectSauron handelt es sich um einen nationalstaatlichen Bedrohungsakteur, der staatliche Organisationen mit einem einzigartigen auf jedes Opfer abgestimmtes Tool-Set attackiert. Die Angreifer scheinen es auf Cyberspionage abgesehen zu haben.

ProjectSauron interessiert sich besonders für den Zugriff auf verschlüsselte Kommunikation und nutzt hierfür eine fortschrittliche modulare Cyberspionageplattform, die eine Reihe einzigartiger Tools und Techniken enthält. Die bemerkenswerteste Eigenschaft der von ProjectSauron genutzten Taktiken ist die bewusste Vermeidung von

Mustern: so passt ProjectSauron seine Implantate und Infrastruktur für jedes einzelne Ziel an und verwendet diese nie wieder. In Kombination mit unterschiedlichen Arten des Herausfilterns gestohlener Daten – wie legitime E-Mail-Kanäle und Domain Name Systems (DNS) – sind die Hintermänner von ProjectSauron in der Lage, heimliche und langfristige Spionagekampagnen innerhalb anvisierter Netzwerke durchzuführen.

ProjectSauron vermittelt den Eindruck, dass es sich hier um einen erfahrenen und etablierten Akteur handelt. Die Hintermänner betrieben beträchtlichen Aufwand, um von extrem fortgeschrittenen Cyberspionagekampagnen zu lernen, darunter ‚Duqu‘, ‚Flame‘, ‚Equation‘ und ‚Regin‘. Deren innovativste Techniken wurden wiederum übernommen.

Dabei wurden Taktiken, um möglichst unentdeckt zu bleiben, verbessert.

Hauptfunktionen von ProjectSauron

•    Einzigartiger Footprint: Die Kernimplantate haben unterschiedliche Dateinamen und -größen und werden für jedes Ziel individuell erstellt. Das macht eine Entdeckung sehr schwer, weil existierende Kompromittierungsindikatoren nur wenig Bestand für andere Zielobjekte haben.

•    Ausführung im Speicher: Die Kernimplantate nutzen Skripte legitimer

Software-Updates und arbeiten als Backdoor-Programme, die neue Module herunterladen oder Befehle der Angreifer im Speicher ausführen können.

•    Verschlüsselte Kommunikation als Ziel: ProjectSauron sucht aktiv nach Informationen zu ziemlich seltener, maßgeschneiderter Netzwerk-Verschlüsselungs-Software. Diese Client-Server-Software wird von vielen der Zielorganisationen für eine sichere Kommunikation sowie Sprach-, E-Mail- und Dokumentenaustausch genutzt. Die Angreifer sind besonders an Komponenten von Verschlüsselungssoftware, Schlüsseln, Konfigurationsdateien und der Lokalisierung von Servern interessiert, die verschlüsselte Nachrichten weiterleiten.

•    Skript-basierte Flexibilität: Die ProjectSauron-Akteure haben eine

Reihe von Low-Level-Tools implementiert, die von High-Level-LUA-Skripten orchestriert werden. Die Verwendung von LUA-Komponenten in Malware ist sehr selten und ist bisher nur bei den Attacken von ‚Flame‘ und ‚Animal Farm‘ entdeckt worden.

•    Überwinden von Air Gaps: ProjectSauron nutzt speziell präparierte

USB-Laufwerke, um Air-Gap-Netzwerke [3] zu überwinden. Die USB-Laufwerke sind mit versteckten Bereichen ausgestattet, in denen gestohlene Daten verborgen werden können.

•    Mechanismen zum Herausfiltern von Daten: ProjectSauron implementiert eine Reihe von Wegen, um Daten herausfiltern zu können.

Dies geschieht beispielsweise über legitime E-Mail-Kanäle und Domain Name Systems (DNS).

Geografische Verbreitung und Opferprofile

Bisher wurden mehr als 30 Opferorganisationen aus Russland, Iran und Ruanda sowie höchstwahrscheinlich aus italienischsprachigen Ländern identifiziert. Auch sind viele weitere Organisationen und Regionen sehr wahrscheinlich betroffen.

Die Analyse von Kaspersky Lab legt nahe, dass die anvisierten Organisationen eine Schlüsselrolle bei der Bereitstellung staatlicher Dienste innehaben und aus den Bereichen Regierungsinstitutionen, Militär, wissenschaftliche Forschungszentren, Telekommunikationsanbieter und Finanzorganisationen kommen.

Forensische Analysen haben ergeben, dass ProjectSauron seit Juni 2011 und bis ins Jahr 2016 aktiv ist. Der ursprünglich von ProjectSauron genutzte Infektionsweg, um in Opfernetzwerke einzudringen, bleibt unbekannt.

„Einige zielgerichtete Angriffe bauen derzeit auf kostengünstige, sofort verfügbare Tools. ProjectSauron dagegen setzt auf individuelle, zuverlässige Tools und anpassbaren Skript-Code“, sagt Vitaly Kamluk, Principal Security Researcher bei Kaspersky Lab. „Die einmalige Nutzung einzigartiger Indikatoren, wie zum Beispiel Control Server oder Entschlüsselungstools, ist neben der Übernahme innovativer Techniken anderer Bedrohungsakteure ziemlich neu. Der einzige Weg, solche Gefahren abzuwehren, ist es, einen mehrstufigen Schutz einzusetzen, der auf Sensoren basiert, die auch nur die geringste Abweichung in den typischen organisatorischen Abläufen signalisiert. Kombiniert mit Threat Intelligence und forensischen Analysen werden Muster erkannt, auch wenn es scheinbar keine gibt.“

Der Aufwand, die Komplexität, die Hartnäckigkeit sowie das ultimative Ziel der Operation – der Diebstahl vertraulicher und geheimer Informationen aus politisch sensiblen Organisationen – lässt die Beteiligung oder Unterstützung eines Nationalstaates vermuten.

Die Sicherheitsexperten von Kaspersky Lab raten Organisationen dazu, ihre IT-Netzwerke und Endpoints einem Sicherheitsaudit zu unterziehen und die folgenden Maßnahmen umzusetzen:

•    Neben dem bestehenden Endpoint-Schutz sollte eine spezielle Lösung gegen zielgerichtete Attacken [1] (Anti Targeted Attack) eingesetzt werden. Klassischer Endpoint-Schutz ist für die Verteidigung gegen Angriffe der nächsten Generation nicht ausreichend.

•    Einbindung externer Experten, wenn die Technologie Anomalien feststellt. Die fortschrittlichsten Sicherheitslösungen erkennen einen Angriff, sobald er passiert, und Sicherheitsexperten sind in bestimmten Fällen die einzigen, die Angriffe effektiv blockieren, abschwächen und analysieren können.

•    Cybersicherheitsstrategie um Threat-Intelligence-Dienste [4] erweitern: So können sich Security-Teams über die neusten Entwicklungen hinsichtlich der Bedrohungslage, Angriffstrends und Infektionsanzeichen informieren.

•    Da viele großangelegte Cyberattacken mit einer Spear-Phishing-Attacke oder anderen gezielten Angriffen auf Mitarbeiter beginnen, sollte das Cybersicherheitsbewusstsein der Mitarbeiter über Schulungen [4] trainiert und verbessert werden.

Der vollständige ProjectSauron-Report wurde bereits den Kaspersky-Kunden des Services APT Intelligence Reports [5] vorab zur Verfügung gestellt.

Die Lösungen von Kaspersky Lab entdecken die ProjectSauron-Samples unter „HEUR:Trojan.Multi.Remsec.gen“.