ProjectSauron, un altro super-malware di cui sappiamo ancora poco

I ricercatori di sicurezza di Kaspersky e Symantec hanno scoperto una nuova piattaforma malware modulare dalle caratteristiche estremamente sofisticate che sembrano suggerire il supporto attivo di uno Stato. In funzione almeno dal 2011 e già abbattutasi su circa 30 bersagli, la minaccia prende il nome di "ProjectSauron" o di "Remsec" così come è stata battezzata rispettivamente da Kaspersky e da Symantec.

ProjectSauron ha mostrato la capacità di operare indisturbato e inosservato per almeno cinque anni, dimostrando come i suoi autori (che al momento non è ancora stato possibile delineare) si siano ispirati, anche concretamente, ai lavori di altri gruppi supportati da Stati (come il caso di Equation Group, del quale parlammo in questo articolo) con lo scopo di replicarne i metodi ed evitare gli errori compiuti. ProjectSauron va così ad affiancare quei malware che sono saliti all'onore della cronache nel corso degli anni passati: Stuxnet, Flame, Duqu e Regin.

La sofisticazione di ProjectSauron fa pensare al coinvolgimento di uno Stato

Si tratta di un malware estremamente difficile da identificare poiché risiede sostanzialmente nella memoria del computer ed è scritto in forma di Binary Large Objects, difficilmente rilevabile con un antivirus, e perché è stato architettato in maniera tale da lasciare indizi del suo operato sempre diversi a seconda del bersaglio attaccato. Ciò significa, in altri termini, che gli indizi che possono essere raccolti dopo un'infezione non aiutano i ricercatori a scoprire nuove compromissioni: a differenza dell'operato di molti malware che riutilizzano server, nomi di dominio o indirizzi IP per il collegamento a risorse di command and control, chi ha sviluppato ProjectSauron ha fatto in modo di scegliere risorse differenti per ciascun bersaglio.

"Gli attaccanti hanno capito che noi ricercatori andiamo alla ricerca di un ripetersi di occorrenze. Evitare che ciò accada rende più difficile scoprire l'attività del malware. Siamo a conoscenza di oltre 30 organizzazioni già attaccate, ma siamo sicuri che si tratta solamente della punta dell'iceberg" hanno affermato i ricercatori Kaspersky. Secondo i ricercatori ProjectSauron si compone di almeno 50 moduli differenti che possono essere opportunamente combinati per portare avanti un attacco "su misura" del bersaglio, in relazione all'obiettivo desiderato per ciascuna infezione.

"Una volta installato, il modulo principale di ProjectSauron inizia ad operare come cellula dormiente, senza alcuna attività e in attesa di un comando di wakeup nel traffico di rete in ingresso. Questo modus operando assicura un'estesa persistenza di ProjectSauron sui server delle organizzazioni prese di mira" spiega Kaspersky.

L'obiettivo principale di ProjectSauron sembra essere quello di ottenere password, chiavi crittografiche, file di configurazione e indirizzi IP dei server chiave legati a qualsiasi software di cifratura fosse utilizzato presso le vittime. Ma una particolarità che rende ProjectSauron interessante e pericoloso al contempo è la capacità di raccogliere informazioni anche dai sistemi cosiddetti air-gapped, cioè non collegati ad alcuna rete. Ciò è possibile grazie a periferiche di storage USB che il malware riesce a preparare in modo opportuno, così da inserirvi un file system virtuale non visibile dal sistema operativo Windows. Il dispositivo appare come approvato dai sistemi compromessi, ma dietro le quinte vi sono svariate centinaia di MB riservati per conservare informazioni tenute al sicuro sui sistemi air-gapped. E la parte interessante del tutto è che questo meccanismo riesce a scavalcare anche le protezioni dei software di data-loss prevention che usualmente bloccano l'uso di drive USB sconosciuti.

I ricercatori non sono ancora stati in grado di capire, tuttavia, come avvenga la trafugazione dei dati tramite USB. La presenza dell'area di storage occultata non consente di per sè di cedere il controllo del sistema air-gapped agli attaccanti. Il sospetto è che questa funzione specifica sia usata solamente in rari casi e richieda l'uso di una falla zero-day che ancora non è stata individuata. Così come ancora sconosciuto è il vettore primario di infezione sfruttato per compromettere la rete delle vittime.

Tra le vittime potrebbero esserci realtà italiane o di paesi dove l'italiano è lingua corrente

Il malware è stato scoperto lo scorso settembre, dopo che un cliente di una organizzazione di cui non è stata rivelata l'identità ha assoldato i ricercatori perché indagassero su alcune anomalie del traffico di rete. I ricercatori hanno individuato una strana libreria eseguibile caricata nella memoria di uno dei server di Domain Controller del cliente. La libreria era mascherata da Windows Password Filter, servizio spesso utilizzato dagli amministratori di rete per assicurarsi che le password corrispondano a requisiti specifici di lunghezza e complessità. Il modulo si avvia ogni volta che un utente locale si logga o cambia una password ed è in grado di vedere le password in testo semplice.

Tra le vittime ad ora conosciute vi sono agenzie governative, centri di ricerca, organizzazioni militari, fornitori di servizi di comunicazioni e istituzioni finanziarie in Russia, Iran, Ruanda, Cina, Svezia, Belgio. I ricercatori hanno inoltre individuato una serie di parole italiane nel codice di ProjectSauron, particolarità che suggerisce l'uso del malware contro bersagli dislocati in Italia o in altre nazioni dove l'italiano è lingua corrente, anche se attualmente tra le vittime note non vi sono realtà italiane.

"L'attore alle spalle di ProjectSauron è molto avanzato, comparabile solo al meglio del meglio in termini di sofisticazione e accanto a Duqu, Flame, Equation e Regin. Se sia collegato o meno a questi non è dato ancora sapere, ma gli attaccanti di ProjectSauron hanno sicuramente imparato molto da loro" hanno concluso i ricercatori Kaspersky, suggerendo inoltre il possibile coinvolgimento di una forza governativa di un qualche stato, per il quale tuttavia non sono state avanzate ipotesi.

Tutti i dettagli tecnici finora conosciuti di ProjectSauron sono stati resi noti in questo approfondito report di Kaspersky Lab e ulteriori informazioni sono state divulgate da Symantec a questo indirizzo, dove viene citato "Strider" quale gruppo hacker alle spalle di ProjectSauron/Remsec.