«Лаборатория Касперского» и Symantec обнаружили вредоносное ПО «Project Sauron»

Исследователи обнаружили передовые вредоносные программы, которые могут похищать ключи шифрования, собирать информацию с компьютеров с воздушным зазором и записывать чьи-либо нажатия клавиш без обнаружения. Исследователи понятия не имеют, кто разработал вредоносную программу под названием Project Sauron, но она настолько изощренна, что убеждена, что это должна быть организация «национального уровня». Вместо того, чтобы указывать пальцами (или уважать Властелин колец знания), они называют создателя Project Sauron «Strider».

Проект Sauron был описан в двух отчетах: один от Лаборатории Касперского, а другой от Symantec.

Обе охранные фирмы поражаются своей сложностью:

«Активист угрозы Project Sauron управляет самой современной модульной платформой кибершпионажа с точки зрения технической сложности», - пишет «Лаборатория Касперского» в своем документе об инструменте: «Предназначен для обеспечения долгосрочных кампаний с помощью скрытности». механизмы выживания в сочетании с несколькими методами эксфильтрации ».

Это означает, что, вероятно, она не была создана небольшой группой людей, делающих то, что, черт возьми, они делают в этой нелепой «хакерской» сцене из Стрела:

Вместо этого Kaspersky и Symantec считают, что «Strider», вероятно, напрямую связан с крупным мировым правительством. Две фирмы, занимающиеся исследованиями в области безопасности, не указывают пальцем на Соединенные Штаты, но по большей части цели Project Sauron не являются друзьями Америки.

«Лаборатория Касперского» обнаружила, что вредоносное ПО скрывается на компьютерах в России, Иране и Руанде; Symantec также обнаружил это на устройствах в Бельгии, Швеции и Китае. Говорят, что Project Sauron предназначался для правительственных посольств, телекоммуникационных компаний, научно-исследовательских центров и авиакомпаний, среди других групп.

Project Sauron довольно долго скрывался на ничего не подозревающих компьютерах, учась у своих предшественников, таких как Flame, Duqu и других сложных вредоносных программ. Это экстраординарный кусок кода, и Symantec, и Kaspersky достаточно уверены, что «Strider» находится в ведении национального правительства.

«Strider способен создавать специальные инструменты для вредоносных программ и работает не на радаре не менее пяти лет», - пишет Symantec в своем отчете о сложных вредоносных программах. «Исходя из шпионских возможностей вредоносного ПО и характера известных целей, вполне возможно, что группа является злоумышленником на национальном уровне».

Project Sauron был создан для того, чтобы избежать обнаружения, используя разные размеры файлов, имена и модули для каждой цели, что затрудняет его идентификацию исследователями.

«Злоумышленники ясно понимают, что мы, как исследователи, всегда ищем закономерности. Удалите шаблоны, и операцию будет сложнее обнаружить », - пишет« Лаборатория Касперского »в своем отчете. «Нам известно о нападениях более 30 организаций, но мы уверены, что это лишь крошечная вершина айсберга»

Это может иметь серьезные последствия для Страйдера, кем бы он ни оказался.Северная Корея столкнулась с огромной негативной реакцией после того, как ее обвинили во взломе Sony в 2014 году и, возможно, продолжая преследовать другие группы в последующие годы.

Если бы Strider оказался американцем, это был бы не первый случай, когда США применили взлом в таких масштабах. Печально известный вирус Stuxnet, предположительно созданный США и Израилем, нанес серьезный физический ущерб ядерным объектам Ирана (он перегружал некоторые чувствительные центрифуги и взорвался). Это может быть только вопросом времени, когда Иран наконец ответит.

Эти инциденты, наряду со многими другими, поднимают важный вопрос о том, где хакерство находится в масштабе между «преступлением» и «объявлением войны». Пока это не решено, каждый взлом - игра.

Конечно, это верно только в том случае, если создание Project Sauron можно отнести к какому-либо одному государству в отдельности, и это, вероятно, не произойдет в ближайшее время. Хотя, вероятно, за закрытыми дверями происходит множество указаний пальцем, публичной информации пока недостаточно, чтобы разоблачить Страйдера. Но Project Sauron написан на английском языке, он достаточно сложен, чтобы уклоняться от исследователей в течение пяти лет, и нацелен на людей на важных должностях.

«Атрибуция трудна, и надежная атрибуция редко возможна в киберпространстве. Даже при наличии уверенности в различных показателях и очевидных ошибках злоумышленника, существует большая вероятность того, что это дым и зеркала, созданные злоумышленником с большей выгодой и большими ресурсами », - пишет« Лаборатория Касперского »в своем блоге. «При работе с наиболее продвинутыми субъектами угрозы, как в случае с Project Sauron, атрибуция становится неразрешимой проблемой».

На данный момент Страйдер должен оставаться в тени.