ProjectSauron, APT di Stato su misura?

Kaspersky e Symantec hanno scoperto un nuovo malware dal design estremamente sofisticato, riuscito a nascondersi per 5 anni. Vittime di alto profilo, ancora ignote le modalità di infezione

Roma – Non è un APT (Advanced Persistent Threath) comune l’ultimo scoperto dai laboratori Kaspersky e Symantec . Il malware, ribattezzato ProjectSauron (prendendo ancora una volta ispirazione da una stringa contenuta nel codice), ha un design estremamente complesso e raggiunge un livello di sofisticazione tipico dei malware sponsorizzati da nazioni sovrane . Come però da copione in casi del genere, Kaspersky e Symantec non si sbilanciano nel fare ipotesi su quale possa essere.

La scoperta risale allo scorso Settembre, quando un cliente di un’agenzia governativa non meglio specificata ha messo sotto contratto Kaspersky per analizzare del traffico anomalo osservato sulla rete interna. Gli analisti dell’azienda russa hanno seguito le tracce fino a scovare una libreria caricata nella memoria di un controller di dominio Windows, mascherata da filtro e controllo qualità password . Con questa strategia il malware ha raggiunto l’obiettivo della persistenza in memoria (il filtro viene caricato automaticamente ad ogni login) e messo le mani su tutta una serie di dati sensibili come password, chiavi crittografiche, configurazioni e indirizzi pertinenti a ogni software di cifratura in esecuzione, apparentemente il suo principale obiettivo .

ProjectSauron, malware modulare con estensioni in Lua

Una volta scoperto, gli esperti delle due aziende sono riusciti a retrodatare le prime attività di ProjectSauron fino al 2011. Il malware è stato scovato nei sistemi di circa 30 vittime , appartenenti ad agenzie governative, centri di ricerca scientifici, organizzazioni militari, aziende di telecomunicazioni e istituzioni finanziarie in Russia, Iran, Ruanda, Cina, Svezia, Belgio e “in paesi di lingua italiana”, ma a Kaspersky si dicono convinti che questa sia “solo la punta dell’iceberg”. A rendere lento il processo di identificazione è il livello di sofisticazione di ProjectSauron e la sua architettura modulare , con almeno 50 estensioni scritte in Lua attualmente identificate. La nuova minaccia si adatta alla configurazione delle vittime e quindi ha precluso ai ricercatori la possibilità di cercare “schemi che si ripetono”: il primo corso di azione nel metodo di lavoro tipico di chi va alla ricerca di nuovi esemplari di malware. ProjectSauron (noto anche come Remsec ) non riutilizza server, domini, indirizzi IP per il Command & Control , che rimangono univoci tra target diversi.

Al momento non è ancora noto il vettore di infezione originale utilizzato da ProjectSauron per inserirsi nei sistemi vittima. Una volta fatto, il malware rimane “cellula dormiente” fino a un segnale di risveglio che arriva via rete. ProjectSauron è anche in grado di sottrarre dati da sistemi air gapped , ovvero fisicamente isolati e privi di qualsiasi connessione di rete, una delle pratiche di sicurezza più stringenti generalmente in uso nei sistemi critici. Per farlo il malware intercetta la creazione di pennette USB e le dota di un filesystem nascosto , un’area invisibile posta nella porzione finale dello storage USB in cui vengono salvati file estratti dal sistema isolato. Rimane aperta la questione di come poi gli attaccanti riescano a mettere le mani su questi dati filtrati, probabilmente nel momento in cui la pennetta viene inserita in un sistema connesso. I ricercatori sospettano l’utilizzo di una vulnerabilità 0-day , anche questa ancora da identificare. Se, come sostengono i suoi scopritori, ProjectSauron sembra “aver fatto suoi i pregi e corretto i difetti di precedenti malware di Stato come Regin o Stuxnet “, non sarà affatto semplice.

Stefano De Carlo

Fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ethype scrive:
    Fotocopiatrice laser
    Date che dopo Samsung, anche Google ha capito che Flash era un morto a piedi?
  • valeria scrive:
    e tutti i giochini di Facebook?
    Come farò a giocare su Facebook senza flash?
    • gnammolo scrive:
      Re: e tutti i giochini di Facebook?
      https://www.amazon.it/Speedite-Lussuoso-Panasonic-Fujifilm-Fotocamera/dp/B00R7PSPLM/ref=sr_1_1?ie=UTF8&qid=1470844761&sr=8-1&keywords=flash
    • Ethype scrive:
      Re: e tutti i giochini di Facebook?
      - Scritto da: valeria
      Come farò a giocare su Facebook senza flash?Quali giochini?
  • iRoby scrive:
    Finalmente
    Finalmente muore flash.Ma tutti i flashgames?E i siti in flash mai aggiornati?
    • ... scrive:
      Re: Finalmente
      - Scritto da: iRoby
      Finalmente muore flash.
      Ma tutti i flashgames?

      E i siti in flash mai aggiornati?Si aggiorneranno. :-o
    • lorenzo scrive:
      Re: Finalmente
      Dopo che ho visto cosa sta succedendo con html5 non sono sicuro che convenga gioire ...
      • bulbo scrive:
        Re: Finalmente
        nulla che in una tecnologia open non si possa sistemare... e non come in flash dove usciva un bug critico a settimana.
        • fatina_marc ona scrive:
          Re: Finalmente
          - Scritto da: bulbo
          nulla che in una tecnologia open non si possa
          sistemare... e non come in flash dove usciva un
          bug critico a
          settimana.preparatevi perchè appena flash andrà in pensione, cominceranno a colpire le librerie che implementano HTML5 e li saranno ugualmente dolori
    • bulbo scrive:
      Re: Finalmente
      - Scritto da: iRoby
      Finalmente muore flash.dopo che apple lo aveva bannato da ios, google da android prima e da chrome ora, spero che sia davvero la fine di questa ciofeca, che ha rovinato il web per molti anni.
      E i siti in flash mai aggiornati?si aggiorneranno, come quei pochi che usano l'altra superciofeca di silverlight.
      • Il fuddaro scrive:
        Re: Finalmente
        - Scritto da: bulbo
        - Scritto da: iRoby

        Finalmente muore flash.
        dopo che apple lo aveva bannato da ios, google da
        android prima e da chrome ora, spero che sia
        davvero la fine di questa ciofeca, che ha
        rovinato il web per molti
        anni.


        E i siti in flash mai aggiornati?
        si aggiorneranno, come quei pochi che usano
        l'altra superciofeca di
        silverlight.Su silverlight non ci scommetterei. Come tutte le porcherie che servono solo su ecosistema win sono dure a morire.E visto che il Mondo windows è fatto di cioloni, è questi cioloni compongono l'80% dell' universo dei pc, il conto viene da sè. Per nostra disgrazia. :$
Chiudi i commenti