1. Возможно, Sauron работает с 2011 года и до недавнего времени оставался нераскрытым.

Глаз Саурона не связан ни с чем приятным. Демонический и зловещий глаз был метафорой присутствия зла в Средиземье Толкина. Создавалось впечатление, что он знал все секреты героев.

С программой, крещенной «глазом Саурона» специалистами по безопасности, ничем не отличается. Он относится к категории APT (то есть к системе продвинутых постоянных угроз ), в которой слово SAURON было найдено в исходном коде, и фактически представляет собой целую экосистему взаимодействующих элементов. Ведущие компании, анализирующие эти виды угроз, среди прочего Symantec и «Лаборатория Касперского» признают, что принцип ее распространения недостаточно известен. Вообще его происхождение и судьба неизвестны.

Возможно, Sauron работает с 2011 года и до недавнего времени оставался нераскрытым.

Это уже свидетельствует о высоком техническом прогрессе создателей этой программы. Частично умеющий прятаться в памяти компьютеров и даже выкладывать на пустые USB-диски - он смог найти там место, ранее невидимое антивирусам. Это означает, что он даже попал в компьютеры, разделенные так называемыми воздушный зазор, то есть напрямую не подключен к Интернету или другим внешним сетям. « Но вы можете использовать только авторизованные и зашифрованные USB-диски на таких компьютерах », - сказал вы. Как выяснилось, Саурон в таких условиях и справился, и ему удалось скопировать даже на заблокированные USB-накопители.

Как говорится в его отчете, Касперский:

Мы не знаем функции этой функции до сих пор. Однако известно, что нападения были направлены именно на них - они касались конкретных организаций и регионов. Вероятно, благодаря Саурону (или Страйдеру, как его называли ранее) информация о конкретном заказе была украдена.

Что может служить программа в основном в Бельгии, Швеции, России и Китае? Авторы опубликованы на Securelist Отчет определяет содержащиеся в нем модули следующим образом:

• Remsec - вредоносная программа, которая служит бэкдором, точкой входа в атаку.
• Loader - модуль, скрывающийся под именем MSAOSSPC.DLL, отвечает за загрузку и запуск других модулей. Он также занимается сохранением журнала запуска и расшифровкой скрытых файлов. Попробуйте выжить, выдав себя за службу SSP (поставщик поддержки безопасности). Именно благодаря такой архитектуре в отчете компании Sauron названа «модульной платформой для широких шпионских кампаний».
• Модули написаны на языке программирования Lua. Remsec имеет свой собственный интерпретатор этого языка, что позволяет предположить, что был разработан кроссплатформенный инструмент. Среди модулей есть известный кейлоггер (программа, которая отправляет шпионскую активность пользователя), в исходном коде которой есть код SAURON_KBLOG_KEY . Именно от него только что прибыл кодовое имя системы. Кроме того, было обнаружено, что модули прослушивают отслеживающую сеть, создают черные ходы (обратные входы в систему) и даже простой HTTP-сервер, который предлагает возможность удаленного управления приобретенной системой (так называемый C & C или сервер управления и контроля).

Обе компании объявляют о дальнейшем поиске модулей Strider и тесно сотрудничают с организациями, которые могут подвергнуться риску атак. Машины, на которых все версии Windows работают под управлением Windows XP, подвержены риску как в 32-разрядных, так и в 64-разрядных версиях. Исходный код обнаружил следы того, что интересует злоумышленников: шаблоны поиска файлов и ключевые слова (например, для поиска в электронной почте). Интересно, что это английские и итальянские слова (например, secret и segreto).

В подготовленном Касперским доклад мягко упоминается, что создание и поддержание такой системы, как Strider, стоит много миллионов долларов и требует поддержки «на государственном уровне» ( национальное государство ).

В переводе на наш, это обычно означает участие спецслужб России, Северной Кореи или Китая.

Похожие

Комментарии