Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Projekt Sauron w akcji – zaawansowany malware, który wykryto po kilku latach

09 sierpnia 2016, 18:18 | Aktualności | komentarze 4

Projekt Sauron działa jedynie w pamięci (nie zostawia zatem śladów na HDD), wykorzystuje techniki przenoszenia siebie przez sieć lub ukryte partycje na USB, pierwszą infekcję datowano na 2011 rok, ale wykryta została dopiero niedawno… Cel: ambasady, instalacje wojskowe, branża finansowa / telekomunikacyjna, ośrodki badawcze. Co Wam to przypomina?

project-sauron-640x236

Tak, wygląda to na zaawansowany malware wyprodukowany przez jeden z rządów. Kasperski opisuje go w skrócie tak:

ProjectSauron is the name for a top level modular cyber-espionage platform, designed to enable and manage long-term campaigns through stealthy survival mechanisms coupled with multiple exfiltration methods.

Całość została dosyć dokładnie opisana tutaj i tutaj (m.in. kanały komunikacyjne z wykorzystaniem DNS / e-mail, przeszło 50 pluginów,  poszukiwanie informacji związanych ze specyficznym oprogramowaniem szyfrującym czy serwery C2 kontrolujące całość).

Na razie wykryto przeszło 30 zainfekowanych organizacji, ale jak wspominają sami badacze z Kasperskiego to prawdopodobnie jedynie niewielki czubek ogromnej góry lodowej:

We are aware of more than 30 organizations attacked, but we are sure that this is just a tiny tip of the iceberg.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. pakuz

    Czy wiadomo w jakich krajach zostały wykryte?

    Odpowiedz
    • W dokumencie jest: „…Russia, Iran and Rwanda, and there may be some in Italian-speaking countries.”

      Pozdrawiam,
      Paweł

      Odpowiedz
  2. eeeee

    Ja go mam, i to od co najmniej 2013. Co wiecej 100% komputerow (30szt) jakie sprawdzalem w przeciagu ostatniego miesiaca tez go mialy…
    Ze tak powiem, jest zabawnie…
    Za niedlugo i z Boza pomoca wysylam swoja amatorska analize w swiat liczac na pierwsze bug/virus bounty, choc nie wiem czy ktokolwiek na to zerknie i czy to cos mozna jeszcze nazwac virusem.
    ps. W jakies 2mc temu skanowalem kompa kasperskim i psinco.
    Bart.

    Odpowiedz

Odpowiedz