Projekt Sauron w akcji – zaawansowany malware, który wykryto po kilku latach

Projekt Sauron działa jedynie w pamięci (nie zostawia zatem śladów na HDD), wykorzystuje techniki przenoszenia siebie przez sieć lub ukryte partycje na USB, pierwszą infekcję datowano na 2011 rok, ale wykryta została dopiero niedawno… Cel: ambasady, instalacje wojskowe, branża finansowa / telekomunikacyjna, ośrodki badawcze. Co Wam to przypomina?

Tak, wygląda to na zaawansowany malware wyprodukowany przez jeden z rządów. Kasperski opisuje go w skrócie tak:

ProjectSauron is the name for a top level modular cyber-espionage platform, designed to enable and manage long-term campaigns through stealthy survival mechanisms coupled with multiple exfiltration methods.

Całość została dosyć dokładnie opisana tutaj i tutaj (m.in. kanały komunikacyjne z wykorzystaniem DNS / e-mail, przeszło 50 pluginów,  poszukiwanie informacji związanych ze specyficznym oprogramowaniem szyfrującym czy serwery C2 kontrolujące całość).

Na razie wykryto przeszło 30 zainfekowanych organizacji, ale jak wspominają sami badacze z Kasperskiego to prawdopodobnie jedynie niewielki czubek ogromnej góry lodowej:

We are aware of more than 30 organizations attacked, but we are sure that this is just a tiny tip of the iceberg.

–Michał Sajdak