Nieuw spionageplatform tapt versleutelde overheidscommunicatie af
09-08-2016 | door: Redactie

Nieuw spionageplatform tapt versleutelde overheidscommunicatie af

In september 2015 signaleerde Kaspersky Labs Anti-Targeted Attack Platform een ongewone functie in het netwerk van de organisatie van een klant. De afwijking leidde onderzoekers naar 'ProjectSauron', een door een staat gesponsorde cybercampagne die overheidsorganisaties aanvalt met een voor elk slachtoffer unieke set tools, wat traditionele Indicators of Compromise (IoC) nagenoeg nutteloos maakt. Het doel van de aanvallen lijkt voornamelijk cyberspionage te zijn.

ProjectSauron is met name geïnteresseerd in het verkrijgen van toegang tot versleutelde communicatie. Hierop jaagt het met behulp van een geavanceerd modulair cyberspionageplatform dat een set unieke tools en technieken bevat. Het meest opvallende kenmerk van ProjectSauron’s tactiek is het bewust vermijden van patronen: ProjectSauron past implantaten en infrastructuur aan op elk individueel doelwit en gebruikt deze nooit opnieuw. Deze aanpak, in combinatie met meerdere routes voor de exfiltratie van gestolen gegevens, zoals legitieme e-mail kanalen en DNS, stelt ProjectSauron in staat om heimelijke, langlopende spionagecampagnes uit te voeren in de aangevallen netwerken.

ProjectSauron geeft de indruk een ervaren en traditionele actor te zijn, die zich aanzienlijk heeft ingespannen om te leren van andere uiterst geavanceerde actoren, waaronder Duqu,Flame, Equation en Regin. Het neemt enkele van hun meest innovatieve technieken over en verbetert hun tactieken om onopgemerkt te blijven.

Belangrijkste kenmerken 
De volgende ProjectSauron tools en technieken zijn vooral van belang:

  • Unieke footprint: Core-implantaten met verschillende bestandsnamen en -groottes, individueel gebouwd voor elk doelwit – wat ze erg moeilijk te detecteren maakt omdat dezelfde basis Indicators of Compromise weinig waarde zouden hebben voor een andere doelgroep.
  • Draaiend in geheugen: De core-implantaten maken gebruik van legitieme software update scripts en werken als backdoors. Ze downloaden nieuwe modules of voeren puur in het geheugen opdrachten uit van de aanvaller waardoor er geen sporen achterblijven op de harde schijf.
  • Voorkeur voor versleutelde communicatie: ProjectSauron zoekt actief naar informatie met betrekking tot vrij zeldzame, netwerkencryptiesoftware (VPN). Deze client-server software wordt door veel van de aangevallen organisaties op grote schaal gebruikt voor de beveiliging van communicatie, spraak, e-mail en documentenuitwisseling. De aanvallers zijn vooral geïnteresseerd in encryptiesoftware-componenten, sleutels, configuratiebestanden en de locatie van servers die gecodeerde berichten doorgeven tussen de knooppunten.
  • Script-gebaseerde flexibiliteit: De ProjectSauron-actor heeft een reeks low-level tools geïmplementeerd in high-level LUA-scripts. Het gebruik van LUA-componenten in malware is zeer zeldzaam - het werd eerder alleen waargenomen tijdens de Flame- en Animal Farm-aanvallen.
  • Air-gaps omzeilen: ProjectSauron maakt gebruik van speciaal geprepareerde USB-sticks om air-gapped netwerken te overbruggen. De partities van deze USB-sticks zijn aangepast en kleiner gemaakt. De overgebleven ruimtes gebruikte ProjectSauron vervolgens om gestolen gegevens te verbergen.
  • Meerdere exfiltratiemechanismen: ProjectSauron implementeert een aantal mogelijkheden voor gegevensexfiltratie, waaronder legitieme kanalen zoals e-mail en DNS. De van het slachtoffer gestolen informatie wordt hierbij gekopieerd in het normale dagelijkse netwerkverkeer zodat het minder opvalt.

Geografie/slachtofferprofiel 
Tot op heden zijn meer dan 30 getroffen organisaties geïdentificeerd, waarvan de meeste zijn gevestigd in de Russische Federatie, Iran, Rwanda en wellicht in een aantal Italiaanssprekende landen. Waarschijnlijk hebben de aanvallen zich echter uitgestrekt tot veel meer organisaties en regio's. Vanwege de aard van ProjectSauron’s operaties is het echter uiterst lastig om elke nieuw aangevallen organisatie te ontdekken.

Op basis van onze analyse spelen de aangevallen organisaties over het algemeen een belangrijke rol bij het verstrekken van staatsdiensten, zoals:

  • Regering
  • Defensie
  • Wetenschappelijke onderzoekscentra
  • Telecomaanbieders
  • Financiële organisaties

Forensische analyses duiden er op dat ProjectSauron sinds juni 2011 operationeel is en ook in 2016 nog altijd actief is. De aanvankelijke infectievector die door ProjectSauron werd gebruikt om de netwerken van slachtoffers binnen te dringen, blijft onbekend.

"Een aantal gerichte aanvallen vertrouwt nu op goedkope, gemakkelijk verkrijgbare tools. ProjectSauron, daarentegen, is een van degene die op zelfgemaakte, vertrouwde tools en aanpasbare gescripte code vertrouwt. Het eenmalig gebruik van unieke Indicators of Compromise, zoals Command and Control server, encryptiesleutels en meer, en daarnaast het overnemen van geavanceerde technieken van andere dreigingsactoren, is vrij nieuw. De enige manier om dergelijke dreigingen te weerstaan, is het gebruik van vele beveiligingslagen die zelfs de geringste afwijkingen in de werkstroom van de organisatie bewaken, aangevuld met dreigingsinlichtingen en forensische analyse om te jagen op patronen, zelfs als die er niet lijken te zijn", aldus Vitaly Kamluk, Principal Security Researcher bij Kaspersky Lab.

De kosten, complexiteit, volharding en het uiteindelijke doel van de operatie - het stelen van vertrouwelijke en geheime informatie van staatsgevoelige organisaties -, suggereren de betrokkenheid of ondersteuning van een staat.

Beveiligingsdeskundigen van Kaspersky Lab adviseren organisaties een grondige audit uit te voeren van hun IT-netwerken en eindpunten, en de volgende maatregelen te implementeren:

  • Invoering van een oplossing tegen gerichte aanvallen, naast nieuwe of bestaande endpointbeveiliging. Het gebruik van enkel endpointbeveiliging is niet voldoende om volgende-generatie dreigingsactoren te weerstaan.
  • Schakel deskundigen in als de technologie een afwijking detecteert. De meest geavanceerde beveiligingsoplossingen kunnen een aanval detecteren terwijl deze plaatsvindt, en beveiligingsprofessionals zijn soms de enigen die grote aanvallen effectief kunnen tegengaan, afzwakken en analyseren.
  • Vul het bovenstaande aan met diensten op het gebied van dreigingsinlichtingen: dit informeert securityteams over de nieuwste evolutie in het dreigingslandschap, aanvalstendensen en de signalen om op te letten.
  • Zorg ervoor dat medewerkers weten wat verantwoordelijk cybergedrag inhoudt en dat ze dit ook in de praktijk brengen, omdat veel grote aanvallen beginnen met spear-phishing of een andere toenaderingswijze van werknemers.

Het volledige rapport over ProjectSauron is van tevoren beschikbaar gesteld aan klanten van Kaspersky Lab APT Intelligence rapportageservice. Meer informatie op:http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting 

Inbreukindicatoren en YARA-regels zijn beschikbaar.

Alle Kaspersky Lab-producten detecteren ProjectSauron-samples als HEUR:Trojan.Multi.Remsec.gen

Lees voor meer informatie over ProjectSauron de blogpost op Securelist.com

Lees hier meer over hoe de Kaspersky Lab-producten gebruikers tegen deze dreiging kunnen beschermen.

Terug naar nieuws overzicht

Tags

Security
Security