ProjectSauron, un altro super-malware di cui sappiamo ancora poco

ProjectSauron, un altro super-malware di cui sappiamo ancora poco

Kaspesky e Symantec individuano una nuova piattaforma malware modulare in funzione da almeno cinque anni che ha già preso di mira oltre trenta realtà tra organizzazioni militari, governative e centri di ricerca

di pubblicata il , alle 17:07 nel canale Sicurezza
SymantecKaspersky
 

I ricercatori di sicurezza di Kaspersky e Symantec hanno scoperto una nuova piattaforma malware modulare dalle caratteristiche estremamente sofisticate che sembrano suggerire il supporto attivo di uno Stato. In funzione almeno dal 2011 e già abbattutasi su circa 30 bersagli, la minaccia prende il nome di "ProjectSauron" o di "Remsec" così come è stata battezzata rispettivamente da Kaspersky e da Symantec.

ProjectSauron ha mostrato la capacità di operare indisturbato e inosservato per almeno cinque anni, dimostrando come i suoi autori (che al momento non è ancora stato possibile delineare) si siano ispirati, anche concretamente, ai lavori di altri gruppi supportati da Stati (come il caso di Equation Group, del quale parlammo in questo articolo) con lo scopo di replicarne i metodi ed evitare gli errori compiuti. ProjectSauron va così ad affiancare quei malware che sono saliti all'onore della cronache nel corso degli anni passati: Stuxnet, Flame, Duqu e Regin.

La sofisticazione di ProjectSauron fa pensare al coinvolgimento di uno Stato

Si tratta di un malware estremamente difficile da identificare poiché risiede sostanzialmente nella memoria del computer ed è scritto in forma di Binary Large Objects, difficilmente rilevabile con un antivirus, e perché è stato architettato in maniera tale da lasciare indizi del suo operato sempre diversi a seconda del bersaglio attaccato. Ciò significa, in altri termini, che gli indizi che possono essere raccolti dopo un'infezione non aiutano i ricercatori a scoprire nuove compromissioni: a differenza dell'operato di molti malware che riutilizzano server, nomi di dominio o indirizzi IP per il collegamento a risorse di command and control, chi ha sviluppato ProjectSauron ha fatto in modo di scegliere risorse differenti per ciascun bersaglio.

"Gli attaccanti hanno capito che noi ricercatori andiamo alla ricerca di un ripetersi di occorrenze. Evitare che ciò accada rende più difficile scoprire l'attività del malware. Siamo a conoscenza di oltre 30 organizzazioni già attaccate, ma siamo sicuri che si tratta solamente della punta dell'iceberg" hanno affermato i ricercatori Kaspersky. Secondo i ricercatori ProjectSauron si compone di almeno 50 moduli differenti che possono essere opportunamente combinati per portare avanti un attacco "su misura" del bersaglio, in relazione all'obiettivo desiderato per ciascuna infezione.

"Una volta installato, il modulo principale di ProjectSauron inizia ad operare come cellula dormiente, senza alcuna attività e in attesa di un comando di wakeup nel traffico di rete in ingresso. Questo modus operando assicura un'estesa persistenza di ProjectSauron sui server delle organizzazioni prese di mira" spiega Kaspersky.

L'obiettivo principale di ProjectSauron sembra essere quello di ottenere password, chiavi crittografiche, file di configurazione e indirizzi IP dei server chiave legati a qualsiasi software di cifratura fosse utilizzato presso le vittime. Ma una particolarità che rende ProjectSauron interessante e pericoloso al contempo è la capacità di raccogliere informazioni anche dai sistemi cosiddetti air-gapped, cioè non collegati ad alcuna rete. Ciò è possibile grazie a periferiche di storage USB che il malware riesce a preparare in modo opportuno, così da inserirvi un file system virtuale non visibile dal sistema operativo Windows. Il dispositivo appare come approvato dai sistemi compromessi, ma dietro le quinte vi sono svariate centinaia di MB riservati per conservare informazioni tenute al sicuro sui sistemi air-gapped. E la parte interessante del tutto è che questo meccanismo riesce a scavalcare anche le protezioni dei software di data-loss prevention che usualmente bloccano l'uso di drive USB sconosciuti.

I ricercatori non sono ancora stati in grado di capire, tuttavia, come avvenga la trafugazione dei dati tramite USB. La presenza dell'area di storage occultata non consente di per sè di cedere il controllo del sistema air-gapped agli attaccanti. Il sospetto è che questa funzione specifica sia usata solamente in rari casi e richieda l'uso di una falla zero-day che ancora non è stata individuata. Così come ancora sconosciuto è il vettore primario di infezione sfruttato per compromettere la rete delle vittime.

Tra le vittime potrebbero esserci realtà italiane o di paesi dove l'italiano è lingua corrente

Il malware è stato scoperto lo scorso settembre, dopo che un cliente di una organizzazione di cui non è stata rivelata l'identità ha assoldato i ricercatori perché indagassero su alcune anomalie del traffico di rete. I ricercatori hanno individuato una strana libreria eseguibile caricata nella memoria di uno dei server di Domain Controller del cliente. La libreria era mascherata da Windows Password Filter, servizio spesso utilizzato dagli amministratori di rete per assicurarsi che le password corrispondano a requisiti specifici di lunghezza e complessità. Il modulo si avvia ogni volta che un utente locale si logga o cambia una password ed è in grado di vedere le password in testo semplice.

Tra le vittime ad ora conosciute vi sono agenzie governative, centri di ricerca, organizzazioni militari, fornitori di servizi di comunicazioni e istituzioni finanziarie in Russia, Iran, Ruanda, Cina, Svezia, Belgio. I ricercatori hanno inoltre individuato una serie di parole italiane nel codice di ProjectSauron, particolarità che suggerisce l'uso del malware contro bersagli dislocati in Italia o in altre nazioni dove l'italiano è lingua corrente, anche se attualmente tra le vittime note non vi sono realtà italiane.

"L'attore alle spalle di ProjectSauron è molto avanzato, comparabile solo al meglio del meglio in termini di sofisticazione e accanto a Duqu, Flame, Equation e Regin. Se sia collegato o meno a questi non è dato ancora sapere, ma gli attaccanti di ProjectSauron hanno sicuramente imparato molto da loro" hanno concluso i ricercatori Kaspersky, suggerendo inoltre il possibile coinvolgimento di una forza governativa di un qualche stato, per il quale tuttavia non sono state avanzate ipotesi.

Tutti i dettagli tecnici finora conosciuti di ProjectSauron sono stati resi noti in questo approfondito report di Kaspersky Lab e ulteriori informazioni sono state divulgate da Symantec a questo indirizzo, dove viene citato "Strider" quale gruppo hacker alle spalle di ProjectSauron/Remsec.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Thehacker6609 Agosto 2016, 17:26 #1
Nel codice del malware hanno trovato questa stringa:

"We are fsociety, we are finally free, we are finally awake!"

abbath066609 Agosto 2016, 20:58 #2
Un malware per domarli, un malware per trovarli,un malware per ghermirli e nel buio incatenarli!!
Axios200609 Agosto 2016, 23:00 #3
Ma attacca qualsiasi sistema operativo? Desktop? Mobile?
Sandro kensan09 Agosto 2016, 23:14 #4
Se attacca Cina, Russia e Iran vuol dire che sta dall'altra parte.
LMCH10 Agosto 2016, 04:55 #5
Originariamente inviato da: Axios2006
Ma attacca qualsiasi sistema operativo? Desktop? Mobile?

Da come viene descritto nell'articolo attacca esclusivamente sistemi Windows.
Axios200610 Agosto 2016, 10:42 #6
Originariamente inviato da: LMCH
Da come viene descritto nell'articolo attacca esclusivamente sistemi Windows.


Tanto per cambiare...
Il Picchio10 Agosto 2016, 11:29 #7
A me non sembra che attacchi esclusivamente windows, viene detto che le usb che vengono infettate hanno un file non visibile a windows e chi l'ha sgamato utilizzava windows, da qui a dire che attacca SOLO windows imho ce ne passa
CarmackDocet10 Agosto 2016, 12:14 #8
in realtà dubito che attacchi solo sistemi Windows, perchè se l'intento degli autori è (come sembra) attaccare enti governativi e grandi aziende, è lecito pensare che in ambito Enterprise ci sia anche una grande presenza di sistemi Unix/Linux.
LMCH11 Agosto 2016, 19:26 #9
Originariamente inviato da: CarmackDocet
in realtà dubito che attacchi solo sistemi Windows, perchè se l'intento degli autori è (come sembra) attaccare enti governativi e grandi aziende, è lecito pensare che in ambito Enterprise ci sia anche una grande presenza di sistemi Unix/Linux.

È più difficile attaccare sistemi Unix/Linux con un malware "generico" perché di solito
sono server gestiti da persone mediamente più paranoiche rispetto a chi si affida a Windows, senza contare le maggiori customizzazioni possibili anche in termini di sicurezza.
Di solito si usa un malware come quello descritto per infiltrazione e ricognizione delle reti da attaccare, poi in una seconda fase si usano i sistemi Windows compromessi come teste di ponte per lanciare attacchi furtivi molto più mirati verso i sistemi non-Windows individuati.
Non solo server ma anche ad esempio le stampanti/fotocopiatrici multifunzione per ufficio (ce ne sono un sacco che di default memorizzano automaticamente su un hdd interno tutto quello che stampano fino a quando devono cancellare la roba più vecchia per far spazio, senza contare la possibilità di lanciare attacchi dalla stampante causando buffer overflow ai driver di stampa con messaggi di risposta tarocchi e cose simili).
Il Picchio11 Agosto 2016, 20:27 #10
I sistemi unix/linux sono più sicuri perché si

LOL

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^