Avanceret malware har huseret i årevis: Brugt i Rusland, Kina og Europa

Kaspersky Lab og Symantec mener, at en stat kan stå bag nyopdaget malware af APT-typen.

De to sikkerhedsfirmaer Symantec og Kaspersky har udarbejdet hver deres nyligt offentliggjorte analyse af et stykke avanceret malware, som de kalder henholdsvis Remsec og ProjectSauron. Malwaren er gået upåagtet hen i årevis.

Begge selskaber peger på, en nationalstat kan stå bag softwaren. Malwaren placerer både Symantec og Kaspersky i APT-kategorien. Det vil sige Advanced Persistent Threat. Normalt er APT-betegnelsen en overdrivelse, når den bliver sat på malware, bemærker Kaspersky.

Men ikke i dette tilfælde. Den russiske anti-virusvirksomhed beskriver Remsec/ProjectSauron som en 'top-of-the-top modular cyber-espionage platform', som formentlig har kostet millioner af dollars at udvikle

Kaspersky sammenligner desuden Remsec/ProjectSauron med tidligere APT-software som Duqu. Og denne malware - har Kaspersky Lab tidligere påpeget - lader til at være blevet skabt af de samme folk, der stod bag den legendariske Stuxnet-malware.

Stuxnet menes at have været brugt til at ødelægge centrifuger i Iran til til uranberigelse.

Symantec kalder malwaren for Remsec. Virksomheden fortæller, at det er en hidtil gruppe kaldet Strider, der har anvendt malwaren. Strider har ifølge Symantec udført cyberspionage-agtige angreb mod mål i Rusland, Kina, Sverige og Belgien. Symantec oplyser desuden, at Strider har været aktiv mindst siden oktober 2011.

Ifølge Kaspersky har malwaren været aktiv så tidligt tilbage som juni 2011 og frem til april 2016.

Tolkien-reference

Remsec-koden indeholder en reference til Sauron, skurken i Tolkien-fortællingen Ringenes Herre. Af samme grund omtaler Kaspersky malwaren som ProjectSauron. Tolkien-kendere vil formentlig også vide, at Aragorn fra Ringenes Herre på engelsk har tilnavnet Strider, som altså er det navn, Symantec bruger om gruppen bag malwaren.

Remsec/ProjectSauron-koden indeholder en reference til Sauron fra Ringenes Herre. Kilde: Kaspersky Lab. Illustration: Kaspersky Lab.

Mens Symantec peger på mål i Rusland, Kina, Sverige og Belgien, oplyser Kaspersky, at virksomheden har identificeret malwaren i mere end 30 organisationer i Rusland, Iran, Rwanda, og så har malwaren muligvis også været brugt mod italiensk-talende lande.

Det sidste bygger Kaspersky på kode i malwaren, der viser, at angriberne også har holdt øje med italienske nøgleord i inficerede systemer. Dog har Kaspersky ikke registreret nogen italienske ofre.

Militær, telekommunikation og finans

Målene for Remsec/ProjectSauron, som Kaspersky har registreret, er blandt andet inden for det militære område, det regeringsmæssige område, telekommunikation og det finansielle område.

Den russiske sikkerhedsvirksomhed har identificeret moduler i koden, som er i stand til at stjæle dokumenter, logge tastetryk og stjæle kryptografiske nøgler fra inficerede maskiner og tilsluttede USB-enheder.

I forhold til tilsluttede USB-enheder så fremgår det af Kasperskys analyse, at malwaren også er designet til at hente data ud af såkaldte air-gapped systemer. Det vil sige systemer, som er isolerede fra offentlige netværk, som internettet, og som dermed ikke er umiddelbart tilgængelige i forhold til inficering og udtrækning af data.

Remsec/ProjectSauron kan trække data ud af disse systemer via særligt formaterede USB-nøgler. Når nøglen bliver isat, bliver data kopieret ud på en skjult partition på USB-enheden, fremgår det af Kaspersky-analysen.

Kaspersky Lab oplyser, at den domæne- og serverinfrastruktur, der er blevet brugt til at kontrollere malwaren, er blevet udskiftet fra mål til mål. Dermed er det også svært at detektere et angreb alene ved at se på netværksindikatorer.

I forbindelse med den bagvedliggende infrastruktur har Kaspersky identificeret 28 domæner knyttet til 11 ip-adresser i USA og Europa, som kan have forbindelse til Remsec/ProjectSauron.

Kaspersky Lab har ikke noget bud på, hvem der står bag Remsec/ProjectSauron.

Virksomheden bemærker, at det er svært at påvise den slags pålideligt i cyberspace. Og når der er tale om avancerede aktører, som det er tilfældet her, så bliver det 'et uløseligt problem' at påvise, hvem der står bag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere