В «Лаборатории Касперского» раскрыли новую кибергруппировку ProjectSauron

"Лаборатория Касперского" сообщила об обнаружении ранее неизвестной кибергруппировки ProjectSauron. От атак этой кибергруппировки, ведущей свою деятельность с июня 2011 года, уже пострадали как минимум 30 организаций в России, Иране, Руанде и, возможно, некоторых италоговорящих странах, в том числе государственные и военные учреждения, научно-исследовательские центры, телекоммуникационные и финансовые компании. Весьма вероятно также, что число жертв намного больше, а география заражения шире, поскольку в случае ProjectSauron традиционные способы выявления атак не работают.

Высокая стоимость, сложность, длительность и конечная цель кампании (кража конфиденциальной информации у государственных организаций) дает основания предполагать, что злоумышленникам оказывается поддержка на правительственном уровне, считают в "Лаборатории Касперского".

Как именно нападающие проникают в сеть, неизвестно, поскольку каждый раз они задействуют уникальный набор инструментов, тщательно избегают уже использовавшихся образцов, адаптируя вредоносную инфраструктуру для каждой новой жертвы. Это, а также применение множества разных способов для кражи информации, в том числе легитимных почтовых каналов и доменных имен, и ее копирование под видом рядовой передачи данных, позволяет ProjectSauron долго и успешно вести свою деятельность в сетях жертв.

Отличительными особенностями ProjectSauron является применение легитимных скриптов для обновления ПО для загрузки новых зловредов и выполнения нужных команд прямо в памяти атакованного компьютера; проникновение в отключенные от Интернета сети с помощью USB-флешек с тайными ячейками для хранения украденных данных; а также использование весьма редких во вирусном софте LUA-скриптов, которые ранее встречались в атаках Flame и Animal Farm.

Для защиты от подобных атак "Лаборатория Касперского" рекомендует организациям регулярно проводить полноценный аудит ИТ-сетей и конечных устройств; установить в дополнение к защите конечных устройств решение для обнаружения целевых атак; использовать сервисы, дающие доступ к новейшей информации об актуальных угрозах; разработать и тщательно следить за соблюдением сотрудниками политик информационной безопасности, а в случае обнаружения необычной активности в сети обращаться к профессиональным исследователям киберугроз, поскольку иногда только их вмешательство может помочь остановить крупную атаку и устранить ее последствия.