Kaspersky Lab și Symantec descoperă malware "Project Sauron"

Cercetătorii au descoperit un program malware avansat care poate fura cheile de criptare, poate colecta informații de la calculatoarele cu aer comprimat și înregistrează intrările de la o persoană fără a fi detectat. Cercetătorii nu știu cine a proiectat malware-ul, numit Project Sauron, dar este atât de sofisticat încât este convins că trebuie să fie o organizație "la nivel națiunii". În loc să arătați degetele (sau să respectați stapanul Inelelor lore), ei îl cheamă pe creatorul proiectului "Strider" de proiectul Sauron.

Proiectul Sauron a fost prezentat în două rapoarte, una de la Kaspersky Lab și cealaltă de la Symantec.

Ambele firme de securitate se miră de complexitatea sa:

"Actorul de amenințare din spatele proiectului Project Sauron comandă o platformă modulară de top pentru spionaj cibernetic în termeni de sofisticare tehnică", scrie Kaspersky Lab în lucrarea sa despre instrumentul "Proiectat pentru a permite campanii pe termen lung mecanisme de supraviețuire cuplate cu mai multe metode de exfiltrare."

Ceea ce inseamna ca probabil nu a fost creat de un mic grup de oameni care fac tot ce dracu fac in aceasta scena ridicol de "hacking" de la Săgeată:

În schimb, Kaspersky și Symantec cred că "Strider" este probabil afiliat direct cu un guvern mondial major. Cele două firme de cercetare din domeniul securității nu indică degetul la Statele Unite, însă, în cea mai mare parte, țintele proiectului Sauron nu sunt prieteni ai Americii.

Kaspersky Lab a descoperit că malware-ul se află pe computerele din Rusia, Iran și Rwanda; Symantec a găsit-o și pe dispozitivele din Belgia, Suedia și China. Se spune că proiectul Sauron a vizat ambasadele guvernamentale, companiile de telecomunicații, centrele de cercetare științifică și o companie aeriană, printre alte grupuri.

Proiectul Sauron a fost ascultat pe computerele care nu seamănă mult timp, învățând de la predecesorii săi, cum ar fi Flame, Duqu, și alte programe sofisticate de programe malware. Este o piesă extraordinară de cod, iar Symantec și Kaspersky sunt în mod rezonabil sigur că "Strider" este condus de un guvern național.

"Strider este capabil să creeze unelte malware personalizate și a funcționat sub radar timp de cel puțin cinci ani", scrie Symantec în raportul său despre malware-ul sofisticat. "Pe baza capabilităților de spionaj ale malware-ului său și a naturii țintelor sale cunoscute, este posibil ca grupul să fie un atacator la nivel național".

Proiectul Sauron a fost construit pentru a evita detectarea prin utilizarea diferitelor dimensiuni de fișiere, nume și module pentru fiecare țintă, ceea ce face dificilă identificarea cercetătorilor.

"Atacatorii înțeleg clar că noi, ca cercetători, căutăm întotdeauna modele. Eliminați modelele și operația va fi mai greu de descoperit ", scrie Kaspersky Lab în raportul său. "Suntem conștienți de faptul că peste 30 de organizații au atacat, dar suntem siguri că acesta este doar un mic vârf al aisbergului"

Asta ar putea avea implicații grave pentru Strider, oricine s-ar putea dovedi a fi.Coreea de Nord sa confruntat cu o reacție enormă după ce a fost acuzată de hacking Sony în 2014 și, potențial, continuă să vizeze alte grupuri în anii de atunci.

Dacă Strider se dovedește a fi american, nu ar fi pentru prima oară când SUA a lansat un hack pe această scală. Virusul infamat Stuxnet, despre care se spune că a fost creat de SUA și Israel, a provocat pagube fizice grave instalațiilor nucleare ale Iranului (a supraîncărcat câteva centrifuge sensibile și au explodat). Nu ar putea fi decât o chestiune de timp înainte ca Iranul să se răzbune în cele din urmă.

Aceste incidente, alături de multe altele, ridică o întrebare importantă despre locul în care hacking-ul se încadrează pe scară între "crimă" și "declarație de război". Până la această decizie, fiecare hack este un joc de noroc.

Desigur, acest lucru este valabil numai dacă creația proiectului Sauron poate fi atribuită fiecărui stat-națiune în parte, și probabil că aceasta nu se va întâmpla în curând. Deși există, probabil, o multime de degetări în spatele ușilor închise, nu există suficiente informații publice pentru a demasca Striderul încă. Dar proiectul Sauron este scris în limba engleză, este suficient de sofisticat pentru a se sustrage cercetătorilor timp de cinci ani și a vizat oameni în poziții importante.

"Atribuirea este o atribuire dificilă și fiabilă este rareori posibilă în spațiul cibernetic. Chiar și cu încredere în diferiți indicatori și în greșelile evidente ale atacatorilor, există o probabilitate mai mare ca acestea să fie fum și oglinzi create de un atacator cu un punct de vedere mai mare și resurse vaste ", scrie Kaspersky Lab într-un post de blog. "Când ne confruntăm cu actorii cu cele mai avansate amenințări, cum este cazul proiectului Sauron, atribuirea devine o problemă insolubilă".

Deocamdată, Strider va rămâne în umbră.