返回新闻列表

卡巴斯基发现窃取政府通讯信息的顶级网络间谍平台ProjectSauron(又名Remsec)

        随着网络威胁的日趋复杂,以政府、重要机构和大型企业为目标的高级网络攻击愈发频繁。继揭露针对政府和关键行业的Adwind恶意软件、贩卖政府和企业服务器的xDedic地下黑市以及攻击中国政府、外交、数据中心等重要机构的Dropping Elephant网络间谍组织之后,卡巴斯基实验室发现了又一起以政府为目标的重大网络威胁——ProjectSauron(又名Remsec)。

       2015年9月,卡巴斯基实验室的反针对性攻击平台标记出了某客户网络中的异常特征,研究人员进而从中发现了ProjectSauron——一种得到政府支持的以国家机关为目标的攻击平台。它使用独特的攻击工具攻击每一个受害者,令传统的威胁识别技术几乎失效,主要目的是进行网络间谍行为。目前,卡巴斯基实验室产品已将ProjectSauron使用的恶意软件样本检测为HEUR:Trojan.Multi.Remsec.gen。

       ProjectSauron主要获取加密的通讯信息,攻击者使用一种整合了大量不同工具和技术的高级模块化的网络间谍平台。其攻击策略中最值得注意的是采取不固定的攻击模式:在进行攻击时,针对每个特定的目标定制植入程序和基础设施,并且从不循环使用这些攻击工具。通过上述手段,再加上多种窃取数据的渠道,例如合法的电子邮件渠道和DNS渠道,让ProjectSauron能够针对目标网络进行秘密和长期的间谍行动。

       ProjectSauron幕后的网络罪犯是经验丰富的传统攻击者,并且花费了大量精力学习其他高级攻击者的技术,包括Duqu、Flame、Equation和Regin:吸收了这些攻击中最具创新的技术,并且改善了其攻击策略,以确保自身不被发现。

主要特征

       ProjectSauron行动所使用的攻击工具和技巧如下:

  • 独特的数字足迹:核心植入程序具有不同的文件名和体积,并且针对每个目标特别定制——这使得其很难被检测,因为某个目标感染痕迹对其他目标来说几乎没有任何价值。
  • 运行于内存中:核心植入程序会利用合法软件的升级脚本,以后门程序的形式在内存中运行,接收攻击者的指令,下载最新模块或执行命令。
  • 偏好加密通讯:ProjectSauron会积极搜索非常罕见的定制网络加密软件的相关信息。这种服务器端/客户端软件被很多目标企业广泛用于安全通讯、语言通讯、电子邮件传输和文档交换。攻击者对于加密软件组件、密匙和配置文件颇感兴趣,此外还会收集在节点之间中继加密信息的服务器的地理位置。
  • 基于脚本的灵活性:ProjectSauron部署了一系列由高水准LUA脚本精心编排的低水准工具。在恶意软件中使用LUA组件非常罕见,之前仅在Flame和Animal Farm攻击中出现过。
  • 绕过隔离网闸:ProjectSauron使用特别定制的优盘绕过隔离网闸。这些优盘包含隐藏空间,用户保存和隐藏窃取到的数据。
  • 多种数据窃取机制:ProjectSauron部署了多个窃取数据的途径,包括合法渠道如电子邮件和DNS,将从受害者窃取到的信息伪装成日常通讯流量。

受害者地理分布/受害者特征

       截止到目前,我们已在俄罗斯、伊朗和卢旺达发现了超过30个受害组织,另外一些意大利语国家可能也存在受害者,实际遭受影响的组织和地区应该会更多。

       根据卡巴斯基实验室的分析,受攻击组织通常在提供政府服务中扮演重要角色,这些组织包括:

  • 政府组织
  • 军事组织
  • 科研中心
  • 电信运营商
  • 金融组织

       卡巴斯基实验室的取证分析显示,ProjectSauron从2011年6月就已经开始,到2016年仍然在活跃。ProjectSauron入侵受害者网络所使用的最初感染途径仍然未知。

       “现在有很多针对性攻击依靠低成本的现成工具。但是,ProjectSauron则不同,这种攻击行动依靠自制的受信任的工具以及定制的脚本代码。只使用独特的指标(如控制服务器和加密密匙等),以及采用其他威胁组织的领先技术,都让这种威胁看上去很新颖。要抵御这种威胁的唯一手段,是部署多层级的安全保护,通过大量传感器检测组织流程中出现的异常,同时借助于威胁情报服务和取证分析查找固定的攻击模式,尽管这种攻击不会留下明显的攻击模式特征”,卡巴斯基实验室首席安全研究员Vitaly Kamluk表示。

       这种攻击行动的成本、复杂性、持续性以及以窃取同政府有关的敏感和机密信息为最终目标等特征都表明,ProjectSauron得到了政府的支持,或者政府有所参与。

       卡巴斯基实验室安全专家建议相关组织对自己的IT网络和端点进行全面的安全审计,同时采取以下措施:

  • 在最新或现有的端点保护前提下引入反针对性攻击解决方案,如卡巴斯基反针对性攻击平台,因为仅靠端点保护无法抵御下一代网络威胁。卡巴斯基反针对性攻击平台是一款基于目前最先进技术的高级解决方案,全面吸收了卡巴斯基实验室在威胁检测和负载威胁分析方面的技术和经验。能够通过仔细监控网络行为、网页和电子邮件,让企业在任何阶段检测复杂攻击,甚至预先检测出恶意行动。
  • 如果安全检测技术发现网络中存在异常,请寻求安全专家的帮助。高级安全解决方案能够在遭受攻击的时候识别出来,有时候只有安全专业人员才能够有效地拦截、消除和分析这些攻击。
  • 借助于威胁情报服务让安全团队了解最新的威胁环境演化和攻击趋势,让安全人员有所准备。卡巴斯基安全情报服务可在各个方面增强企业的IT安全,帮助企业应对当前的网络安全挑战,预测未来的威胁趋势。
  • 最后,同样重要的是确保员工了解网络威胁常识,知道如何负责任地进行在线行为。很多重大攻击都是通过鱼叉式钓鱼邮件或其他手段攻击员工而成功入侵企业网络。