ProjectSauron, Novo virus feito pelo governo americano ? descoberto

Responder
Avatar do Utilizador
Xevious
Site Admin
Mensagens: 10357
Registado: terça abr 28, 2009 3:12 am

ProjectSauron, Novo virus feito pelo governo americano é descoberto

Mensagem por Xevious »

Imagem

O Kaspersky Anti Targeted Attack sinalizou característica atípica na rede de uma organização. Essa anomalia conduziu pesquisadores ao ‘ProjectSauron’, um agente de ameaças provavelmente apoiado por algum governo, que ataca organizações públicas utilizando, para cada vítima, um conjunto exclusivo de ferramentas, tornando quase inúteis os convencionais indicadores de compromisso (IoC). Aparentemente, o principal objetivo dos ataques é a espionagem virtual.

O ProjectSauron visa, especificamente, acessar comunicações criptografadas ao utilizar plataforma modular de espionagem virtual avançada, incorporando diversas ferramentas e técnicas exclusivas para encontrá-las e acessá-las. Sua característica mais notável é a falta de padrões: o ProjectSauron personaliza os implantes e a infraestrutura para cada alvo e nunca os reutiliza. Essa abordagem, em conjunto com as diversas vias de extração dos dados roubados, usando DNS e canais de e-mail legítimos, possibilita campanhas de espionagem secretas de longo prazo nas redes-alvo.

Aparentemente, o ProjectSauron é um tradicional e experiente agente que investiu muito no aprendizado com outros agentes extremamente avançados, como Duqu, Flame, Equation e Regin, adotando algumas das técnicas mais inovadoras, além de aprimor suas táticas a fim de evitar sua detecção.
Vitaly Kamluk, Investigador Principal de Segurança na Kaspersky Lab Escreveu:Alguns ataques dirigidos têm por base ferramentas low cost e prontas para serem utilizadas. ProjectSauron, pelo contrário, é uma das que assentam em ferramentas homemade, de confiança, com códigos personalizáveis. O uso indicadores exclusivos, como o servidor de controlo, chaves de encriptação e outras coisas, a juntar ao uso de técnicas de vanguarda de outros atores de maior ameaça, é uma novidade. A única maneira de resistir a tais ameaças é ter muitas camadas de segurança, assentes numa cadeia de sensores a monitorizar a mínima anomalia, multiplicado com uma análise forense e intelligence para identificar padrões, mesmo quando parece não haver nenhum
Eis as principais características do ProjectSauron:

Unique footprint: Os core implants têm diferentes nomes e tamanhos individualmente criados para cada alvo – o que torna a deteção muito difícil, uma vez que os mesmos indicadores de compromisso básicos não teriam praticamente qualquer valor para outro objetivo.

Memória: O núcleo dos implantes faz uso de comandos de atualizações de software legítimos e trabalha como um backdoor, fazendo download de novos módulos e executando os comandos do atacante apenas na memória.

Tendência para cripto-comunicações: o ProjectSauron procura de forma ativa informação relacionada com um software de rede encriptado e personalizado bastante raro. Este software de cliente-servidor é muito utilizado por várias organizações como forma de manter a comunicação protegida: voz, email e troca de documentos. Os atacantes estão particularmente interessados nas componentes de cripto-software, chaves, ficheiros de configuração, e na localização de servidores que transmitem mensagens encriptadas entre os nós.

Flexibilidade de scripts: ProjectSauron põe em marcha um conjunto de ferramentas de baixo nível que estão organizados pelos scripts LUA de alto nível. O uso de componentes LUA no malware é muito estranho – foi apenas visto anteriormente nos ataques Flame e Animal Farm.

Sem passar por air-gaps: ProjectSauron usa suportes USB especialmente preparados para saltar entre redes air-gap. Estes suportes têm compartimentos escondidos onde os dados roubados ficam armazenados de forma oculta.

Mecanismos de exfiltração múltipla: ProjectSauron implementa um conjunto de rotas para exfiltração de dados, incluindo canais legítimos como email e DNS, que levam informação roubada da vítima copiada no tráfego do dia-a-dia.

Distribuição geográfica/perfil das vítimas

Até o momento, foram identificadas mais de 30 organizações atacadas, a maioria localizada na Rússia, Irã e Ruanda, e pode haver alguns em países de língua italiana. É provável que muitas outras organizações e regiões sejam afetadas, porém, devido à natureza das operações do ProjectSauron, é extremamente difícil descobrir todos os novos alvos.

De acordo com nossa análise, em geral, as organizações visadas têm papel fundamental na prestação de serviços para o Estado e incluem:

- Governos
- Agências militares
- Centros de pesquisa científica
- Operadoras de telecomunicações
- Organizações financeiras

A perícia forense indica que o ProjectSauron está em operação desde junho de 2011 e continua sua atividade em 2016. Ainda não foi descoberto o vetor de infecção inicial usado pelo ProjectSauron para invadir as redes.

fontes:
defesanet.com.br
bitmag.com.br
Conheça o site Tele-Tudo e compre o que precisar, por tele-entrega
Avatar do Utilizador
BarclayS
Mensagens: 3
Registado: quarta dez 21, 2016 2:14 pm

Re: ProjectSauron, Novo virus feito pelo governo americano é descoberto

Mensagem por BarclayS »

Oh! obrigado pela informação, ter o vírus no computador é muito caro. É preciso ter cuidado
Responder