Kaspersky Lab en Symantec Discover "Project Sauron" Malware

Onderzoekers hebben geavanceerde malware gevonden die coderingssleutels kan stelen, informatie kan verzamelen van door lucht gelokte computers en iemands toetsaanslagen kan registreren zonder te worden gedetecteerd. De onderzoekers hebben geen idee wie de malware heeft ontworpen, genaamd Project Sauron, maar het is zo geavanceerd dat ze ervan overtuigd zijn dat het een "natie-niveau" -organisatie moet zijn. In plaats van wijzende vingers (of respecteren Lord of the Rings overlevering), noemen ze de maker van Project Sauron 'Strider'.

Project Sauron werd uiteengezet in twee rapporten, één van Kaspersky Lab en één van Symantec.

Beide beveiligingsbedrijven verbazen zich over de complexiteit ervan:

"De bedreigingsacteur achter Project Sauron heeft een topmodel modulair cyberspionageplatform op het gebied van technische verfijning", schrijft Kaspersky Lab in zijn paper over de tool, "Ontworpen om langetermijncampagnes door middel van heimelijke acties mogelijk te maken. overlevingsmechanismen gekoppeld aan meerdere exfiltratiemethoden."

Wat betekent dat het waarschijnlijk niet is gemaakt door een kleine groep mensen die doen wat ze in godsnaam doen in deze belachelijke "hacking" -scene van Pijl:

In plaats daarvan denken Kaspersky en Symantec dat "Strider" waarschijnlijk rechtstreeks is gelieerd aan een grote wereldregering. De twee beveiligingsonderzoeksbureaus wijzen de Verenigde Staten niet naar de vingers, maar de doelen van Project Sauron zijn over het algemeen geen vrienden van Amerika.

Kaspersky Lab vond de malware op de loer op computers in Rusland, Iran en Rwanda; Symantec vond het ook op apparaten in België, Zweden en China. Project Sauron zou gericht zijn op overheidsambtenaren, telecombedrijven, wetenschappelijke onderzoekscentra en een luchtvaartmaatschappij, naast andere groepen.

Project Sauron loert al een tijdje op nietsvermoedende computers en leert van zijn voorgangers zoals Flame, Duqu en andere geavanceerde malwareprogramma's. Het is een buitengewoon stukje code en zowel Symantec als Kaspersky zijn er redelijk zeker van dat 'Strider' wordt beheerd door een nationale overheid.

"Strider kan aangepaste malwaretools maken en werkt al minstens vijf jaar onder de radar", schrijft Symantec in zijn rapport over de geavanceerde malware. "Op basis van de spionagemogelijkheden van zijn malware en de aard van de bekende doelen, is het mogelijk dat de groep een aanvaller op nationaal niveau is."

Project Sauron is gebouwd om detectie te omzeilen door verschillende bestandsgroottes, namen en modules voor elk doel te gebruiken, waardoor het moeilijk wordt voor onderzoekers om het te identificeren.

"De aanvallers begrijpen duidelijk dat wij als onderzoekers altijd op zoek zijn naar patronen. Verwijder de patronen en de bewerking zal moeilijker te ontdekken zijn ", schrijft Kaspersky Lab in zijn rapport. "We zijn ons bewust van meer dan 30 aangevallen organisaties, maar we zijn er zeker van dat dit slechts een klein topje van de ijsberg is"

Dat kan serieuze gevolgen hebben voor Strider, wie het ook mag blijken te zijn.Noord-Korea kreeg een enorme terugslag nadat het werd beschuldigd van het hacken van Sony in 2014 en in de loop van de jaren mogelijk andere doelgroepen bleef benaderen.

Als Strider Amerikaans blijkt te zijn, zou het niet de eerste keer zijn dat de VS een hack op deze schaal hebben ingezet. Het beruchte Stuxnet-virus, waarvan gezegd wordt dat het is gemaakt door de VS en Israël, veroorzaakte ernstige fysieke schade aan de Iraanse nucleaire faciliteiten (het overbelaste een aantal gevoelige centrifuges en dingen blies op). Het kan slechts een kwestie van tijd zijn voordat Iran uiteindelijk wraak neemt.

Deze incidenten, samen met vele andere, roepen een belangrijke vraag op over waar hacking op de schaal tussen 'misdaad' en 'oorlogsverklaring' valt. Totdat besloten is, is elke hack een gok.

Dat is natuurlijk alleen waar als de creatie van Project Sauron in het bijzonder kan worden toegeschreven aan een willekeurige natiestaat, en dat zal waarschijnlijk niet snel gebeuren. Hoewel er waarschijnlijk veel vingeraanwijs gebeurt achter gesloten deuren, is er niet genoeg openbare informatie om Strider nog te ontmaskeren. Maar Project Sauron is in het Engels geschreven, het is verfijnd genoeg om onderzoekers vijf jaar te ontlopen en het richtte mensen op belangrijke posities.

"Attributie is moeilijk en betrouwbare attributie is zelden mogelijk in cyberspace. Zelfs met vertrouwen in verschillende indicatoren en kennelijke fouten van aanvallers, is de kans groter dat dit rook en spiegels zijn die worden gecreëerd door een aanvaller met een groter gezichtspunt en enorme bronnen, "schrijft Kaspersky Lab in een blogpost. "Bij de behandeling van de meest geavanceerde bedreigingsactoren, zoals het geval is met Project Sauron, wordt attributie een onoplosbaar probleem."

Voorlopig zal Strider in de schaduw blijven.