Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Projekt Sauron w akcji – zaawansowany malware, który wykryto po kilku latach
Projekt Sauron działa jedynie w pamięci (nie zostawia zatem śladów na HDD), wykorzystuje techniki przenoszenia siebie przez sieć lub ukryte partycje na USB, pierwszą infekcję datowano na 2011 rok, ale wykryta została dopiero niedawno… Cel: ambasady, instalacje wojskowe, branża finansowa / telekomunikacyjna, ośrodki badawcze. Co Wam to przypomina?
Tak, wygląda to na zaawansowany malware wyprodukowany przez jeden z rządów. Kasperski opisuje go w skrócie tak:
ProjectSauron is the name for a top level modular cyber-espionage platform, designed to enable and manage long-term campaigns through stealthy survival mechanisms coupled with multiple exfiltration methods.
Całość została dosyć dokładnie opisana tutaj i tutaj (m.in. kanały komunikacyjne z wykorzystaniem DNS / e-mail, przeszło 50 pluginów, poszukiwanie informacji związanych ze specyficznym oprogramowaniem szyfrującym czy serwery C2 kontrolujące całość).
Na razie wykryto przeszło 30 zainfekowanych organizacji, ale jak wspominają sami badacze z Kasperskiego to prawdopodobnie jedynie niewielki czubek ogromnej góry lodowej:
We are aware of more than 30 organizations attacked, but we are sure that this is just a tiny tip of the iceberg.
–Michał Sajdak
Czy wiadomo w jakich krajach zostały wykryte?
W dokumencie jest: „…Russia, Iran and Rwanda, and there may be some in Italian-speaking countries.”
Pozdrawiam,
Paweł
Ja go mam, i to od co najmniej 2013. Co wiecej 100% komputerow (30szt) jakie sprawdzalem w przeciagu ostatniego miesiaca tez go mialy…
Ze tak powiem, jest zabawnie…
Za niedlugo i z Boza pomoca wysylam swoja amatorska analize w swiat liczac na pierwsze bug/virus bounty, choc nie wiem czy ktokolwiek na to zerknie i czy to cos mozna jeszcze nazwac virusem.
ps. W jakies 2mc temu skanowalem kompa kasperskim i psinco.
Bart.
podeślij do nas :)