Connect with us

מתקפות סייבר

נחשף פרויקט סאורון: פלטפורמה אחת לשלוט בכולן

פורסם

ב-

sauron

ProjectSauron– איום מדינתי התוקף גופים ממשלתיים באמצעות סט כלים ייחודי לכל קרבן ההופכים כמה מכלי ההגנה לחסרי ערך כמעט. לפי ההערכות, המתקפות הללו נועדו בעיקר לצרכי ריגול סייבר.

ProjectSauronמגלה עניין במיוחד בהשגת גישה לתקשורת מוצפנת. הוא קולט תשדורות באמצעות פלטפורמת ריגול סייבר הכוללת סט של טכניקות וכלים ייחודיים. הדבר המעניין  ביותר בנוגע לשיטות הפעולה של ה- ProjectSauron הוא ההימנעות המכוונת שלו מדפוסים קבועים: ProjectSauron מתאים את התשתית ואמצעי הציתות שלו לכל מטרה באופן נפרד, ולעולם לא משתמש באותו אמצעי פעמיים. תכונה זו, יחד עם השימוש בערוצים שונים לשליפת הנתונים הגנובים, כמו דואר אלקטרוני ו- DNS, מאפשרים ל- ProjectSauron לנהל מבצעי ריגול סודיים לתקופות ארוכות ברשתות התקשורת אליהן הוא מכוון.

ניתוח של ProjectSauron מעניק את התחושה שזהו איום ותיק ומנוסה שמפתחיו השקיעו מאמץ ניכר על מנת ללמוד מאיומים אחרים הנחשבים למתקדמים מאוד בתחום זה, ובכלל זה: Duqu, Flame,, Equation ו- Regin. הוא משתמש בכמה מן הטכניקות החדשניות ביותר ובשיפורים נוספים על מנת שלא להיחשף. כך לדוגמא, ProjectSauron שתל סט של כלים ברמה נמוכה המופעלים על ידי סקריפטים ברמה גבוהה בשם LUA. השימוש ברכיבי LUA בנוזקות נדיר מאוד – הוא זוהה בעבר רק במתקפת Flame ו- Animal Farm.

ל- ProjectSauron יש גם יכולת "אווירית", כשהוא עושה שימוש בכונני USB שהוכנו במיוחד על מנת לדלג מעל רשתות Air Gap (רשתות המפרידות פיזית בין חלקים מאובטחים במחשב ובין רשת האינטרנט). נעשה שימוש בכונני USB הכוללים אזורים מוסתרים בהם נשמר המידע הגנוב.

עד כה זוהו 30 ארגונים כקורבנות, רובם ממוקמים ברוסיה, איראן ורואנדה, ויתכן שקיימים גם קורבנות במדינות דוברות איטלקית. התחזית היא כי עוד ארגונים באזורים נוספים ייפגעו. עם זאת, על פי דפוס הפעילות של ProjectSauron, קשה מאוד לגלות כל יעד חדש שנפגע. על בסיס הניתוח של חברת קספרסקי, ארגוני היעד הם בעיקר ספקי שירותים במדינות ובכלל זה: גופי ממשלה, צבא, מרכזי מחקר מדעיים, חברות טלקום וארגונים פיננסים.

Advertisement
מקור הכינוי סאורון

מקור הכינוי סאורון

ניתוח הממצאים מצביע על כך ש- ProjectSauron פעיל מאז יוני 2011 ונשאר פעיל גם ב- 2016. וקטור ההדבקה הראשוני של ProjectSauron המשמש על מנת לחדור לרשתות התקשורת של הקורבנות עדיין לא ידוע.

"מספר רב של התקפות ממוקדות נשענות כיום על כלים זולים ומוכנים לשימוש. בניגוד להן, ProjectSauron הוא אחד מאלו שנשענים על כלים אמינים שהוכנו באופן עצמאי עם קוד הניתן להתאמה אישית. השימוש באינדיקטורים ייחודיים כמו שרת שליטה, מפתחות הצפנה וכלים אחרים יחד עם אימוץ טכניקות מתוחכמות שנלקחו מנוזקות אחרות בתחום, הוא יחסית חדש. הדרך היחידה להתמודד עם איומים כאלו היא להחזיק שכבות אבטחה רבות, המבוססות על שרשרת של חיישנים שיודעים לזהות גם את האנומליה הקטנה ביותר בתהליכים ארגונים. זאת בשילוב עם מודיעין איומי סייבר וניתוחי ממצאים פורנזיים, על מנת לזהות דפוסי פעולה קבועים, גם אם נדמה שאין כאלו", אמר ויטאלי קמלוק, חוקר אבטחה בכיר במעבדת קספרסקי.

מקור תמונה: Nona Lohr ,CC0 1.0 Universal