۰
plusresetminus
دوشنبه ۲۵ مرداد ۱۳۹۵ ساعت ۱۸:۵۷

پروژه سائورون: جاسوس‌افزاری در بالاترین سطح که سال‌ها مخفی ماند!

ایتنا - یک تهدید پیشرفته واقعی برای اینکه تبدیل به یک APT شود از چه چیز‌هایی تشکیل شده است؟ در اینجا تعدادی از ویژگی‌های بالاترین گروه‌های جاسوسی سایبری مشخص شده است.
پروژه سائورون: جاسوس‌افزاری در بالاترین سطح که سال‌ها مخفی ماند!


در سال‌های اخیر گزارش‌های رسانه‌ای مربوط به حملات APT به‌طور قابل ملاحظه‌ای افزایش یافته است. گرچه نام بردن APT یا همان "تهدید‌های پیشرفته و مستمر" برای بسیاری از این گزارشات بزرگنمایی می‌باشد. اما با ذکر استثنا‌هایی؛ تعداد کمی از این حملاتی که معمولا در رسانه‌ها گزارش شده است بسیار پیشرفته بوده است.

این استثناها که به اعتقاد ما نشان‌دهنده‌ها اوج جاسوسی سایبری می‌باشند شامل Equation، Regin، Duqu یا Careto می‌باشند که واقعا تهدید‌های پیشرفته‌ای بودند. دیگر مثال پلتفرم جاسوسی استثنایی "پروژه سائورون" می‌باشد که بعنوان استرایدر(Strider) شناخته شده است.

یک تهدید پیشرفته واقعی برای اینکه تبدیل به یک APT شود از چه چیز‌هایی تشکیل شده است؟ در اینجا تعدادی از ویژگی‌های بالاترین گروه‌های جاسوسی سایبری مشخص شده است:
- سو استفاده کردن از اکسپلویت‌ها
- انتقال آلودگی از طریق عوامل شناسایی‌نشده
- به خطر انداختن سازمان‌های دولتی و حکومتی در چند کشور
- سرقت اطلاعات به مدت طولانی، پیش از شناسایی
- توانایی سرقت اطلاعات از شبکه‌هایی که به اینترنت وصل نیستند
- پشتیبانی از کانال‌های متعدد خروج مخفیانه در پروتکل‌های مختلف
- ماژول‌های بد‌افزاری که می توانند بدون حضور در دیسک‌ها در حافظه سیستم باقی بمانند
- تکنیک‌های ماندگاری غیرمعمولی که گاهی از ویژگی‌های داکیومنت نشده سیستم عامل استفاده می‌کنند
"پروژه سائرون" به سادگی بسیاری از این ویژگی‌ها را داراست.

از کشف تا شناسایی:
زمانی که صحبت از ماندگاری طولانی مدت پروژه‌های جاسوسی سایبری می‌شود بسیاری از مردم از اینکه چرا کشف این جاسوسی‌ها انقدر طول می کشد تعجب می‌کنند. شاید یکی از جواب‌ها نداشتن ابزار مناسب برای این کار می‌باشد. تلاش برای به دام انداختن بدافزار‌های در رده دولتی و نظامی نیازمند محصولات و تکنولوژی‌های تخصصی می‌باشد.

یکی از این محصولات KATA یا پلتفرم ضد حملات هدفمند کسپرسکی (Kaspersky’s AntiTargeted Attacks Platform) می‌باشد. در ماه سپتامبر ۲۰۱۵ تکنولوژی‌های ضد حملات هدفمند ما توانستند حمله ناشناخته‌ای را شناسایی کنند. ماژول مشکوک، یک library قابل اجرا بود که بر روی حافظه دامین کنترلر ویندوز لود شده بود.

این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به داده‌های حساس مثل پسورد‌های ادمین و متن‌های کدگذاری‌نشده دسترسی داشت. تحقیقات بیشتر ما نشانه‌هایی از فعالیت‌های بزرگ یک تهدید جدید موسوم به "پروژه سائورون" که قابلیت حملات گسترده به نهاد‌های دولتی کلیدی در چندین کشور دارد را برملا ساخت.

پروژه سائورون که ازنظر پیچیدگی‌های فنی بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار را شامل می‌شود، جهت قادر ساختن کمپین‌های طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متد‌های گوناگون خروج اطلاعات طراحی شده است. جزئیات فنی نشان می‌دهد که مهاجمان چطور از پروژه‌های بسیار پیشرفته قبلی درس گرفته‌‌اند تا اشتباهات آنها را تکرار نکنند.

برخی از دیگر ویژگی‌های کلیدی پروژه سائورون:
- از یک پلتفرم ماژولار است که جهت قادر ساختن کمپین‌های جاسوسی سایبری طولانی مدت طراحی شده است.
- تمامی ماژول‌ها و پروتوکل‌های شبکه از الگوریتم‌های رمزگذاری بسایر قوی مانند؛ RC6 RC5, RC4, AES, Salsa20 و ... استفاده می‌کنند.
- برای پیاده‌سازی هسته پلتفرم و پلاگین‌هایش از موتور برنامه‌نویسی Lua اصلاح شده استفاده می‌کند.
- از بیش از ۵۰ نوع مختلف پلاگين بهره می‌برد.
- گرداننده این پروژه از از نرم‌افزار رمزگذاری مخابراتی که به‌طور گسترده‌ای توسط سازمان‌های دولتی مورد هدف استفاده می‌شود، بهره می برد، که می تواند کلید‌های رمزگذاری، فایل‌های پیکربندی، و آی‌پی آدرس‌های سرور‌های کلیدی مرتبط با نرم‌افزار رمزگذاری را سرقت کند.
- قادر است اطلاعات را از طریق حافظه یو اس بی آلوده‌ای که داده‌های آن در قسمتی که برای سیستم عامل غیرقابل رویت می‌باشد، ذخیره شده است، از شبکه‌هایی که به اینترنت وصل نیستند سرقت کند.
- این پلتفرم به‌طور وسیعی از پروتکل DNS جهت سرقت اطلاعات و گزارشات لحظه‌ای سیستم استفاده می‌کند.
- این پروژه از سال ۲۰۱۱ شروع به فعالیت کرده و تا اپریل ۲۰۱۶ فعال بوده است.
- نخستین عامل انتقال آلودگی که به شبکه قربانیان نفوذ کرد ناشناخته باقی مانده است.
- مهاجمان از طریق کانال‌های قانونی توزیع نرم‌افزار برای انتقال از طریق شبکه‌های آلوده شده استفاده می‌کنند.

برای اینکه به کسانی که این مطلب را می‌خوانند کمک کنیم پلتفرم "پروژه سائورون" را بهتر بشناسند، لیستی از پرسش و پاسخ‌های سودمندی که شامل مهمترین نکات مربوط به مهاجمان و ابزار‌های مقابله با آن می‌باشد آماده کرده ایم.

همچنین همکاران ما در شرکت سیمانتک آنالیز‌های خود در مورد پروژه سائورون را منتشر کرده‌اند که از طریق لینک زیر می توانید به آن دسترسی داشته باشید:
http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets

پرسش و پاسخ‌ها در مورد پروژه سائورون
۱- پروژه سائورون چیست؟
پروژه سائورون نامیست برای بالاترین سطح از پلتفرم جاسوسی سایبری ماژولار، که جهت قادر ساختن کمپین‌های طولانی مدت از طریق مکانسیم بقای مخفیانه همراه با متد‌های گوناگون خروج اطلاعات طراحی شده است.

جزئیات فنی نشان می دهد که مهاجمان چطور از پروژه‌های بسیار پیشرفته قبلی درس گرفت اند تا اشتباهات آنها را تکرار نکنند.
حملات APT معمولا برای استخراج اطلاعات از یک منطقه و یا یک صنعت خاص طرح ریزی می‌شوند. که به آلوده کردن چندین کشور در آن منطقه و یا صنعت هدف گذاری شده در سرتاسر دنیا می انجامد. جالب توجه است که پروژه سائورون صرفا برای تعدادی کشور خاص، با تمرکز بر اطلاعات با ارزش بالا و به خطر انداختن تمام نهاد‌های کلیدی که در این کشورها وجود دارند، طراحی شده است.

نام پروژه سائورون، نشان‌دهنده آن است که نویسندگان آن به "سائورون" در زبان برنامه نویس Lua اشاره دارند.

۲- قربانیان این پروژه چه کسانی هستند؟
تحقیقات ما نشان می دهد بیش از ۳۰ سازمان در کشور‌های روسیه، ایران، رواندا و احتمالا کشور‌های ایتالیای زبان آلوده شده‌اند. تعداد زیادی از سازمان‌ها در سایر مناطق جغرافیایی نیز بنظر می رسد آلوده شده باشند.
- دولت ها
- مراکز تحقیقات علمی
- مراکز نظامی
- ارائه دهندگان خدمات مخابراتی
- دارایی‌ها
- و ...

۳- آیا شما قربانیان را از این موضوع باخبر کرده‌اید؟
مانند همیشه، آزمایشگاه کسپرسکی بصورت فعال با شرکای صنعتی و سازمان‌های اجرای قانون در جهت آگاه سازی قربانیان و کاهش تهدیدات همکاری می‌کند. ما همچنین روی انتشار اطلاعات از طریق آگاه سازی عمومی حساب باز می‌کنیم.

۴- مهاجمان برای چه مدت فعال بوده‌اند؟
تجزیه و تحلیل‌های ما نشان می دهد که این پروژه حداقل از ماه جون ۲۰۱۱ تا ۲۰۱۶ فعالیت می کرده است. هرچند بنظر می رسد که تا فعالیت‌های آن تا حدود زیادی متوقف شده باشد اما امکان اینکه این جاسوس‌افزار بر روی سیستم‌هایی که از راهکار‌های کسپرسکی بهره نمی برند فعال باشد وجود دارد.

۵- آیا مهاجمان از تکنیک‌های جالب و پیشرفته استفاده کردند؟
مهاجمان چندین تکنیک جالب و غیرممکن را بکار بردند، از جمله:
- استخراج داده‌ها و گزارشات لحظه‌ای از طریق درخواست‌های DNS
- گسترش نفوذ از طریق اسکریپت‌های آپدیت نرم‌افزار‌های قانونی
- استخراج داده‌ها ازشبکه‌هایی که به اینترنت وصل نیستند با استفاده از حافظه‌های یو اس بی آلوده که اطلاعات سرقت شده در قسمتی از حافظه بلا استفاده‌ها ابزار‌های سیستم عامل ذخیره شده‌اند.
- استفاده از موتور برنامه نویسی Lua اصلاح شده، برای پیاده سازی هسته پلتفرم و پلاگین‌های پروژه. استفاده از کامپوننت‌های Lua برای بدافزارها بسیار نادر می‌باشد – این مورد قبلا در مورد حملات فلیم(Flame) و Animal Farm مشاهده شده است.

۶- شما چطور این بدافزار را کشف کردید؟
در سپتامبر ۲۰۱۵ پلتفرم ضد حملات هدفمند کسپرسکی ترافیک شبکه‌ای غیر عادی را در شبکه یکی از سازمان‌های طرف قرارداد خود کشف کرد. آنالیز این رویداد به کشف یک library برنامه قابل اجرای قدرتمندی که در حافظه سرور دامین کنترلر لود می شد، ختم شد. این library بعنوان فیلتر پسورد ویندوز رجیستر شده بود و به داده‌های حساس مثل پسورد‌های ادمین و متن‌های کدگذاری نشده دسترسی داشت. تحقیقات بیشتر، نشانه‌هایی از فعالیت‌های تهدید ناشناخته قبلی را آشکار ساخت.

۷- پروژه سائورون چگونه عمل می‌کند؟
پروژه سائورون معمولا ماژول‌های ماندگار خود را از طریق فیلتر‌های پسورد LSA(Local Security Authority) ویندوز رجیستر می‌کند. این ویژگی عموماً توسط system administratorها جهت اجرای policyهای پسورد و اعتبارسنجی پسورد‌های جدید از لحاظ برخی الزامات مانند طول و پیچیدگی کلمه عبور، استفاده می‌شود. با این روش هر زمان که هرکدام از کاربران شبکه و یا سیستم‌های لوکال(حتی مدیران شبکه) لاگین کنند یا پسورد خود را تغییر دهند، ماژول "درپشتی" پروژه سائورون فعال می‌شود و پسوردها را می رباید.

در مواردی که دامین کنترلرها به اینترنت دسترسی ندارند، مهاجمان یک ایمپلنت اضافی بر روی دیگر سرور‌های محلی که هم به شبکه محلی و هم به شبکه اینترنت دسترسی دارند و نیز مقدار قابل توجهی از ترافیک شبکه از آنها عبور می‌کند(مثل پروکسی سرورها، وب سرورها و سرور‌های آپدیت نرم‌افزار)، نصب می‌کنند. پس از آن، این سرور‌های میانی توسط پروژه سائورون بعنوان یک پروکسی-نود مخفی در راستای استخراج بی سروصدای داده‌ها بصورت ترکیب شده با حجم بالایی از ترافیک معمولی شبکه، مورد سواستفاده قرار می گیرند.

پس از نصب، ماژول‌های پروژه سائورون اصلی، بصورت sleeper cells (یک گروه از ماموران مخفی که برای یک دوره طولانی غیر فعال باقی مانده است) شروع بکار می‌کنند و بدون نشان دادن هیچ فعالیتی از خود منتظر دستور بیدار باشی که از طریق ترافیک شبکه دریافت می‌کنند، می مانند. این روش، پروژه سائورون را مطمئن می‌کند که می تواند برای مدتی طولانی روی سرور‌های سازمان‌های هدف باقی بماند.

۸- پروژه سائورون از چه نوع کامپوننت‌هایی استفاده می‌کند؟
بیشتر کامپوننت‌های هسته اصلی پروژه سائورون به منظور فعالیت بعنوان درپشتی(back door)، دانلود ماژول‌های جدید و یا اجرای فرمان‌های مهاجمان، صرفا در حافظه طراحی شده‌اند، تنها راه به دام انداختن این ماژول‌ها انجام memory dump(پروسه‌ای که طی آن تمام محتوای حافظه نمایش داده می‌شود) کامل بر روی سیستم آلوده می‌باشد.

تقریباً تمام کامپوننت‌های هسته اصلی پروژه سائورون منحصر به فرد هستند و دارای اسم و سایز‌های متفاوت هستند و هرکدام بصورت مجزا برای هدفی خاص ساخته شده‌اند. برچسب زمانی(نشان‌دهنده زمان فعلی رویداد‌های رکورد شده در کامپیوتر) هر ماژول، چه در فایل سیستم و چه در هِدرِ خود ماژول، صرفا جهت محیطی که ماژول در آن نصب شده است طراحی گردیده.

ماژول‌های ثانویه‌ها پروژه سائورون برای انجام فعالیت‌های خاصی مانند سرقت داکیومنت ها، ذخیره کلید‌های کیبورد(به منظور دستیابی به پسوردها) و سرقت کلید‌های رمزنگاری از کامپوتر‌های آلوده و حافظه‌های USB فلش متصل شده، طراحی شده‌اند.

پروژه سائورون از طریق سیستم فایل مجازی خود، یک معماری ماژولار پیاده سازی کرده تا بتواند ماژول‌های اضافی(پلاگین ها) را ذخیره کرده و مترجم زبان برنامه نویس Lua را برای اجرای اسکریپت‌های درونی خود تغییر دهد. این پروژه بیش از ۵۰ نوع مختلف از ماژول‌ها را شامل می‌شود.

۹- عامل انتقال اولیه چه چیزی بوده است؟
تا به امروز، عامل انتقال اولیه‌ای که پروژه سائورون جهت نفوذ به شبکه قربانیان استفاده کرده است، ناشناس باقی مانده است.

۱۰- ماژول‌های پروژه سائورون چگونه در شبکه هدف مستقر شدند؟
در بسیاری از موارد، ماژول‌های پروژه سائورون از طریق تغییر اسکریپت‌هایی که system administratorها برای انجام آپدیت‌های معمول نرم‌افزاری در شبکه استفاده می کردند، مستقر می شدند.

در اصل، مهاجمان یک فرمان، جهت فعال کردن بدافزار با تغییر اسکریپت نرم‌افزار موجود، تزریق می کردند. بد‌افزار تزریق شده، یک ماژول کوچک است که بعنوان یک دانلودر ساده کار می‌کند.

هنگامی که اکانت مدیر شبکه استارت شود، این دانلودر بهآی‌پی آدرس‌های داخلی و خارجی متصل می‌شود و شروع به دانلود داده‌های اصلی و بزرگ مورد هدف پروژه سائورون می‌کند.

در مواردی که پروژه سائورون محتوای پایدار خود را بر روی دیسک در فرمت exe ذخیره می‌کند، آنها را از طریق نامگذاری با اسم نرم‌افزار‌های مجاز و معمولی موجود در سیستم پنهان می‌کند.

۱۱- مهاجمان از چه زیرساختی استفاده می کردند؟
گرداننده پروژه سائورون زمانی که وارد این عملیات امنیتی شد، بسیار آماده بود. اجرای یک کمپین جاسوسی سایبری مانند پروژه سائورون نیازمند زیرساخت‌های سروری و دامنه‌های منحصر به فردیست که برای هریک از سازمان‌های قربانی اختصاص یافته و دیگر استفاده نخواهد شد. این عملیات باعث می‌شود شبکه‌های مبتنی بر شاخص‌های قدیمی بلااستفاده شوند زیرا آنها دیگر در هیچ سازمانی استفاده نخواهند شد.

ما ۲۸ دامنه متصل به ۱۱آی‌.پی که در ایالات متحده و چندین کشور اروپایی که ممکن بود به کمپین پروژه سائورون متصل باشند را جمع آوری کرده ایم. حتی تنوع ISPهای انتخاب شده توسط عملیات پروژه سائورون نشان‌دهنده این است که گرداننده این پروژه برای جلوگیری از لو رفتن طرح خود همه چیز را فراهم کرده بود.

۱۲- آیا هدف پروژه سائورون شبکه‌های ایزوله(غیر متصل به اینترنت) است؟
بله، ما چند مورد از شبکه‌های ایزوله‌ای که پروژه سائورون موفق به نفوذ به آنها شده بود را ثبت کردیم.
ابزار‌های پروژه سائورون شامل ماژول‌های خاصی می‌شود که جهت انتقال داده‌ها از شبکه‌های ایزوله به سیستم‌های متصل به اینترنت، طراحی شده‌اند. برای دستیابی به این هدف، از حافظه‌های USB استفاده شده است. همینکه سیستم‌های شبکه در معرض خطر قرار گرفتند، مهاجمان منتظر اتصال یک حافظه USB به ماشین‌های آلوده می مانند.

این USBها به‌طور خاص جهت کاهش سایز پارتیشن روی دیسک USB، رزرو مقداری داده پنهان(چند صد مگابایت) در انت‌های دیسک جهت اهداف خرابکارانه، فرمت شده‌اند. این فضای رزرو شده جهت ایجاد یک پارتیشن رمزنگاری شده‌ها خاص استفاده شده است که توسط سیستم عامل‌های رایج مثل سیستم عامل ویندوز، غیر قابل شناسایی می‌باشد. این پارتیشن، فایل سیستم(یا سیستم فایل مجازی) خاص خود را داراست. با دو دایرکتوری اصلی: "IN" و "OUT".

این متد همچنین نرم‌افزار‌های DLP(جلوگیری از نشت داده ها) زیادی را دور میزند. از آنجایی که این نرم‌افزارها اتصال USBهای ناشناخته را بر مبنای شناسه دستگاه(DeviceID) غیرفعال می‌کنند و از این طریق جلوی حملات و نشت داده‌ها را می گیرند، این پروژه از USBهای به رسمیت شناخته شده استفاده می‌کند.

۱۳- آیا پروژه سائورون زیرساخت‌های حیاتی را مورد هدف قرار می دهد؟
برخی از نهاد‌هایی که آلوده شده‌اند می توانند در گروه زیرساخت‌های حیاتی قرار بگیرند. به هرحال، ما شبکه‌های سیستم کنترل صنعتی که دارای سیستم SCADA بودند را بعنوان مراکز آلوده شده به پروژه سائورون ثبت نکردیم.
همچنین ما هنوز ندیده ایم که ماژول‌های پروژه سائورون صنعت‌های نرم‌افزاری و سخت‌افزاری را هدف گیری کرده باشند.

۱۴- پروژه سائورون از متد‌های ارتباطی خاصی استفاده کرده است؟
در مورد ارتباطات شبکه ای، ابزار‌های پروژه سائورون قابلیت‌های گسترده‌ای دارند، بیشتر نفوذ‌های معمولی با استفاده از پروتکل‌های ICMP, UDP, TCP, DNS, SMTP و HTTP صورت گرفت.

یکی از پلاگین‌های پروژه سائورون، ابزار انتقال داده‌های DNS می‌باشد. برای جلوگیری از تشخیص توسط تونل‌های DNS در سطح شبکه، مهاجمان آن را از طریق حالت پهنای باند کم به کار بردند، به همین دلیل بود که این ابزار فقط برای سرقت ابرداده‌های سیستم‌های هدف، بکار برده شد.

دیگر ویژگی جالب بدافزار پروژه سائورون که از طریق آن توانست به پروتوکل DNS نفوذ کند، گزارش آنی پیشرفت عملیات به سیستم ریموت می‌باشد. به محض اینکه نقطه عطفی در عملیات بدست می آمد، پروژه سائورون یک درخواست DNS به یک دامین منحصر بفرد ویژه به هریک از اهداف می‌فرستد.

۱۵- پیچیده‌ترین ویژگی پروژه سائورون چیست؟
در کل، پلتفرم پروژه سائورون بسیار پیشرفته است و سطح پیچیدگی و تهدید آن را در همین مطلب اعلام کرده ایم. برخی از جالب ترین موارد در پلتفرم پروژه سائورون موارد زیر می‌باشد:

- مکانسیم‌های چندگانه استخراج داده ها، سوار بر پروتکل‌های شناخته شده.
- دور زدن شبکه‌های ایزوله از طریق پارتیشن‌های مخفی روی USB درایوها.
- ربودن LSA ویندوز جهت کنترل دامین سرور‌های شبکه.
- اجرای یک موتور برنامه نویسی Lua ثانویه برای نوشته اسکریپت‌های مخرب سفارشی جهت کنترل کل پلتفرم بدافزار از طریق یک زبان برنامه نویسی سطح بالا.

۱۶- آیا مهاجمان از هرگونه از آسیب پذیری‌های zero-day استفاده می‌کنند؟
تا به امروز ما هیچ اکسپلویت zero-day مرتبط با پروژه سائورون را پیدا نکرده ایم.
به هرحال، زمانی که به سیستم‌های ایزوله شده نفوذ می‌شود، ساختار فضای حافظه‌های رمزنگاری شده در USBها به تن‌هایی نمی تواند به مهاجمان این قابلیت را بدهد تا سیستم‌های ایزوله شده را در کنترل خود بگیرند. حتما کامپوننت دیگری مثل اکسپلویت zero-day باید در پارتیشن USB درایو اصلی وجود داشته باشد.

تاکنون ما هیچ اکسپلویت zero-dayجاسازی شده‌ای در بدنه بدافزاری که آنالیز کرده ایم، پیدا نکرده ایم، و اعتقاد داریم که شاید در یک مورد نادر که کشف آن سخت می‌باشد، جاسازی شده است.

۱۷- آیا این تهدید فقط برای سیستم عامل ویندوز می‌باشد؟ چه ورژن‌هایی از ویندوز مورد هدف می‌باشند؟
پروژه سائورون روی تمام سیستم عامل‌های مدرن مایکروسافت ویندوز کار می‌کند- هر دو نسخه X۸۶ و X۶۴. ما شاهد بودیم که آلودگی به همان کیفیتی که روی Windows XP x۸۶ فعالیت می کرد روی Windows ۲۰۱۲ R۲ Server Edition x۶۴ نیز فعال بود.
تا امروز، ما ورژن غیر ویندوزی پروژه سائورون را پیدا نکرده‌ایم.

۱۸- آیا مهاجمان برای شکار اطلاعات خاصی اقدام کردند؟
پروژه سائورون به‌طور فعالی در جستجوی اطلاعات درخصوص نرم‌افزاری سفارشی که کار نگاری شبکه را انجام می دهد، می‌باشند. این نرم‌افزار کلاینت-سروری، به‌طور گسترده‌ای مورد قبول و استفاده بسیاری از سازمان‌های هدف می‌باشد که از آن در جهت امن کردن ارتباطات، صداها، ایمیل ها، و مبادلات مستندات، استفاده می‌کنند.

در تعدادی از مواردی که ما آنالیز کردیم، پروژه سائورون ماژول‌های مخرب خود را درون دایرکتوری نرم‌افزار سفارشی رمزنگاری شبکه، با نام فایل‌های مشابه جهت پنهان سازی، مستقر کرده است و به داده‌های قابل اجرای درون خود دسترسی دارد. برخی از اسکریپت‌های Lua استخراج‌شده نشان می‌دهد که مهاجمان علاقه زیادی به کامپوننت‌های نرم‌افزار، کلیدها، فایل‌های پیکربندی و مکان‌های سرور‌هایی که کار انتقال اطلاعات رمزنگاری شده بین نود‌ها را انجام می دهند، دارند.

همچنین یکی از پیکربندی‌های مستقر شده‌ها پروژه سائورون شامل یک شناساگر خاص منحصر به فرد در شبکه مجازی خود برای سرور نرم‌افزار رمزنگاری شبکه مورد هدف می‌باشد. رفتار کامپوننتی کهآی‌پی آدرس سرور را جستجو می‌کند غیر معمول است. پس از بدست آوردنآی‌پی، این کامپوننت تلاش می‌کند از طریق پروتکل خودِ پروژه سائورون با سرور ریموت ارتباط برقرار کند. این نشان می دهد که برخی از سرور‌های ارتباطی که نرم‌افزار رمزنگاری را اجرا می‌کنند نیز به پروژه سائورون آلوده شده‌اند.

۱۹- دقیقا چه چیزی از سیستم‌های مورد هدف سرقت شده است؟
ما پی برده ایم که ماژول‌های پروژه سائورون قادر به سرقت، داکیومنت ها، ذخیره کلید‌های کیبورد(به منظور دستیابی به پسوردها) و سرقت کلید‌های رمزنگاری از کامپیوتر‌های آلوده و حافظه‌های USB، می‌باشند.
موارد آورده شده در بلاک‌های زیر که از پروژه سائورون استخراج شده است، نشان‌دهنده نوع اطلاعات و پسوند فایل‌هاییست که مهاجمان به دنبال آن بودند:

جالب اینجاست، بیشتر کلمات و پسوند‌هایی که در بالا آورده شده به زبان انگلیسی می‌باشند، اما برخی از آنها به زبان ایتالیایی است، مانند: ‘codice’, ‘strCodUtente’ و ‘segreto’.

این موضوع نشان‌دهنده این است که مهاجمان قصد حمله به هدف‌های ایتالیایی زبان داشته‌اند. با این حال ما تا این لحظه هیچ آگاهی نسبت به قربانیان ایتالیایی پروژه سائورون نداریم.

۲۰- آیا شما چیزی پیدا کرده اید که نشان دهد چه کسی پشت پروژه سائورون است؟
نسبت دادن کاری به دیگران کار سختی است و نسبت دادن یک جاسوسی سایبری به شخصی خاص به ندرت امکان پذیر می‌باشد. حتی با داشتن شاخص‌های قوی در مورد اشتباهات آشکار مهاجمان، در این مورد این امکان وجود دارد که مهاجمان با نشان دادن این اهداف، در پی گمراه کردن ما باشند و در واقع دیدگاه‌ها و منابع گسترده تری در کار باشند. وقتی در حال سروکله زدن با گردانندگان تهدید‌های پیشرفته‌ای مثل پروژه سائورون هستیم، نسبت دادن آن به شخص خاص به یک مساله غیرقابل حل تبدیل می‌شود.

۲۱- آیا این حمله توسط یک دولت ساپورت می‌شود؟
ما فکر می‌کنیم عملیاتی با این سطح از پیچیدگی که هدف آن سرقت اطلاعات محرمانه و مخفی می‌باشد، فقط می تواند با حمایت یک دولت خاص اجرا شود.

۲۲- اجرای پروژه‌ای مانند پروژه سائورون چقدر می تواند هزینه بر باشد؟
لابراتور کسپرسکی اطلاعات دقیقی در این مورد ندارد اما برآورد ما این است که پیاده سازی و اجرای پروژه‌ای مانند پروژه سائورون نیازمند چندین تیم متخصص می‌باشد که نیازمند سرمایه چند میلیون دلاری است.

۲۳- پلتفرم پروژه سائورون چطور با سایر تهدیدات در بالاترین سطح مقایسه می‌شود؟
پروژه سائورن بسیار پیشرفته است و قابل مقایسه با بالاترین سطح از جاسوسی‌های سایبری می‌باشد و در کنار Duqu, Flame, Equation, و Reginقرار می گیرد. چه با این جاسوس‌افزارها ارتباط داشته باشد یا نداشته باشد، مهاجمان پروژه سائورون قطعا از آنها چیز‌های زیادی یاد گرفته‌اند.

بعنوان یادآوری، ما دراینجا بعضی از ویژگی‌های حملات APT دیگری که، کشف کرده ایم مهاجمان پروژه سائورون با دقت از آن یاد گرفته یا شبیه‌سازی کرده‌اند را آورده‌ایم:
Duqu:
- استفاده از اینترانت C&Cها (جایی که سرور‌های هدفِ در معرض خطر ممکن است بعنوان C&Cهای مستقل عمل کنند)
- اجرا شدن فقط بر روی مموری(مانداگای روی تعداد کمی از gatewayهای میزبان)
- استفاده از متد‌های رمزنگاری متفاوت برای هر قربانی
- استفاده از پایپ‌های نامگذاری شده برای ارتباط با LAN
- انتشار بدافزار از طریق کانال‌های استقرار نرم‌افزاری مجاز

Flame:
- کد‌های جاسازی شده‌ها Lua
- حذف ایمن فایل(از طریق از بین بردن داده ها)
- حمله به سیستم‌های ایزوله و متصل نشده به اینترنت از طریق دستگاه‌های قابل حمل

Equation و Regin:
- استفاده از سیستم رمزنگاری RC۵/RC6
- فایل سیستم‌های مجازی(VFS)
- حمله به سیستم‌های ایزوله و متصل نشده به اینترنت از طریق دستگاه‌های قابل حمل
- ذخیره سازی داده‌ها پنهان در دستگاه‌های قابل حمل
همچنین موارد زیر نشان می دهد در پروژه‌های قبلی چه چیز‌هایی باعث شد آنها در معرض خطر قرار بگیرند، و پروژه سائورون تمام تلاش خود را در جهت رفع این مشکلات انجام داد:
- استفاده از مکان‌های آسیب پذیر یا ماندگار برای C&C‌ها
- استفاده مجدد از نام ISP، IP، دامنه و ابزارها در سایر کمپین‌ها
- استفاده مجدد از الگوریتم رمزگذاری(و همچنین کلید‌های رمزنگاری)
- بجای گذاشتن رد پای قانونی بر روی دیسک
- مهر‌های زمانی بر روی بسیاری از کامپوننت‌ها
- استخراج حجم بالایی از داده‌ها

بعلاوه این نشان می دهد که مهاجمان توجه ویژه‌ای به آنچه ما به عنوان شاخص امنیت در نظر داریم، داشتند و طرح ریزی منحصر به فردی را برای هریک از اهداف مورد حمله خود پیاده سازی کرده‌اند. این خلاصه‌ای از استراتژی پروژه سائورون بود که ما دیدیم. مهاجمان به‌طور واضحی متوجه هستند که ما بعنوان محققان امنیتی، بدنبال الگوها و طرح‌ها هستیم. حذف الگوها و عملیات، شناسایی را سخت تر می‌کند. ما از بیش از ۳۰ سازمان که مورد حمله واقع شده‌اند آگاه شده ایم اما به خوبی می دانیم که این تازه نوک کوچکی از کوه یخی است که از آب بیرون زده باشد.

۲۴- آیا محصولات کسپرکی تمام انواع این بدافزار را شناسایی می‌کند؟
تمام محصولات کسپرسکی نمونه‌های پروژه سائورون را با عنوان HEUR:Trojan.Multi.Remsec.gen شناسایی می‌کنند.

۲۵- آیا شاخص‌هایی جهت شناسایی نفوذ این بدافزار برای کمک به قربانیان وجود دارد؟
تاکتیک‌های پروژه سائورون برای جلوگیری از ایجاد هرگونه الگو طراحی شده‌اند. کامپوننت‌ها و زیر ساخت‌ها برای هریک از هدف‌های جداگانه، سفارشی شده‌اند و هرگز از آنها استفاده مجدد نمی‌شود بنابراین رویکرد‌های امنیتی استاندارد جهت شناسایی کمتر بکار می آید.

به هرحال شباهت ساختار کدها اجتناب ناپذیر است، بخصوص در مورد کد‌های رمزنگاری نشده. این موضوع امکان شناسایی کدها را در مواردی می دهد.
به همین دلیل، درکنار شاخص‌های شناسایی رسمی، ما قوانین YARA را نیز اضافه کرده ایم، قوانین YARA می توانند کمک بزرگی در شناسایی آثار پروژه سائورون کنند.

پی نوشت: YARA ابزاریست در جهت کشف فایل‌های مخرب یا الگو‌های فعالیت‌های مشکوک روی سیستم‌های متصل در شبکه ها. قوانین YARA اساساً رشته‌ها را بررسی می‌کنند – این ابزار به تحلیلگران در پیدا کردن نمونه‌های بدافزار‌های گروه بندی شده و ترسیم خطوط ارتباطی بین آنها در جهت آشنایی و کشف این بدافزارها کمک می‌کنند زیرا در غیر اینصورت آنها مخفی خواهند ماند.

ما قوانین YARA خود را براساس نمونه‌های کوچک و عجیب غریبی که مهاجمان از آنها استفاده می‌کنند آماده کرده ایم. این قوانین می توانند در جهت اسکن شبکه‌ها و سیستم‌ها برای اینگونه الگو‌های عجیب مورد استفاده قرار بگیرند. چنانچه برخی از این نمونه‌های عجیب در اسکن‌ها مشاهده شود این امکان وجود دارد که سازمان به این بدافزار آلوده شده باشد.

اطلاعات بیشتر در مورد پروژه سائورون برای مشتریان خدمات گزارش اطلاعات کسپرسکی موجود است. برای کسب اطلاعات بیشتر با ایمیل intelreports@kaspersky.com در ارتباط باشید.

منبع: کسپرسکی‌آنلاین
کد مطلب: 44782
نام شما
آدرس ايميل شما

بنظر شما مهم‌ترین وظیفه دولت جدید در حوزه IT چیست؟
حمایت از بخش خصوصی حوزه فاوا
افزایش سرعت اینترنت
کاهش تعرفه اینترنت
رفع فیلترینگ