Antivirus en beveiligingsbedrijf Kaspersky Labs ontdekte in september 2015 een spionagegroep die zich ProjectSauron of Strider noemt. Het gaat volgens Kaspersky om zeer geavanceerde aanvallen, mede omdat ProjectSauron ook data van offline computers weet te stelen.

 

Kaspersky vermoedt dat het om een 'door een staat gesponsorde cybercampagne' gaat, schrijft het bedrijf in en nieuwsbericht op zijn site. De campagne valt volgens het beveiligingsbedrijf vooral overheidsorganisaties aan met 'voor elk slachtoffer een unieke set tools, waardoor standaard virusdetectie vrijwel onmogelijk is. ProjectSauron liep van juni 2011 tot mei 2016.

ProjectSauron lijkt vooral te zoeken naar hoe toegang te krijgen tot versleutelde communicatie, bijvoorbeeld encryptiesleutels, ip-adressen van communicatieservers en configuratiebestanden. In de tussentijd is de malware bij verschillende organisaties in een aantal landen ontdekt, zowel door Kaspersky als Symantec: Rusland, China, Zweden, Iran, Rwanda en België. Mogelijk zijn ook organisaties en landen die Italiaans spreken doel van de aanvallers geweest. Omdat de aanvallers of spionnen altijd gebruikmaken van andere patronen, kon de campagne lang verborgen blijven. Het laat volgens het anti-virusbedrijf zien dat er veel kennis achter zit.

De besmetting van computers die niet met internet verbonden zijn, kon plaatsvinden door een stukje van een usb-stick te formatteren op een computer die online staat. Deze nieuwe partitie van een paar honderd megabyte is niet te zien via Windows. Als de stick vervolgens in een offline-computer gestopt wordt, wordt deze computer besmet. Daarna zal de onzichtbare partitie met bepaalde data gevuld worden. Bij het weer in een online-computer stoppen van de stick, wordt de verzamelde informatie verzonden naar de spionnen.

Welke zero-day-exploits gebruikt worden, is niet bekend. Op dit moment is in de bij de anti-virusbedrijven bekende malware nog geen zero-day ontdekt die gebruikt is. ProjectSauron werkt op alle moderne Microsoft Windows-systemen. Er is nog geen niet-Windows-versie ontdekt.

Kaspersky stelt verder dat ProjectSauron zeer geavanceerd is en het heeft vermoedelijk miljoenen dollars gekost om te maken. De kwaliteit staat op de hoogte van DuquFlame, Equation en Regin.

Reacties mogelijk gemaakt door CComment