卡巴斯基说ProjectSauron(Strider)向中国发起APT攻击

据卡巴斯基的专家称,他们发现了一个新的APT(高级持续性威胁),被称为Strider或ProjectSauron。该组织已向俄罗斯、比利时、中国、伊朗、瑞典和卢旺达境内的目标发起攻击,主要针对政府、金融、运营商、军队等目标。

赛门铁克的专家称,

Strider退货至少从2011年起开始活跃,并指出其攻击能力和攻击目标类型表明该组织是一个国家级别的黑客团伙。

该组织利用一种复杂的恶意软件Remsec,在受感染的主机上创建一个后门。

“该组织利用一种高级恶意软件Remsec(Backdoor.Remsec),实施攻击。Remsec是一种主要针对于间谍目的设计的隐秘工具。其代码中提到了“索伦”。索伦是《指环王》中有着全视之眼的反派主角。赛门铁克的研究人员在一篇博文中对此进行了详细分析。”

 

“Strider能够创建自定义恶意软件工具,已至少活跃了5年才被发现。”赛门铁克补充道。“从其恶意软件的间谍能力和已知攻击目标的特征来看,该组织可能是国家级别的攻击者。”

APT攻击会有什么特征

卡巴斯基实验室的专家发布了针对称该APT组织(他们称其为ProjectSauron)的详细分析。卡巴斯基在一篇博文中提到,

“真正的高级威胁与APT的拙劣模仿者有什么区别?下面是当前最活跃的网络间谍组织的几项特征:

 

  • 利用零日漏洞。
  • 利用从未被识别的未知感染向量。
  • 已成功入侵数个个国家的多个政府组织。
  • 被发现前,已连续多年成功窃取信息。
  • 具备可从“气隙网络”中窃取信息的能力。
  • 支持针对各类协议的多个秘密渗漏通道。
  • 恶意软件模块只存在于内存中,不入侵磁盘。
  • 独有的持续性技术,有时会利用未记录的操作系统特性。
  • ProjectSauron可轻而易举地将以上多种特征集成在攻击中。”

ProjectSauron(Strider) APT攻击危害

卡巴斯基发现ProjectSauron已在俄罗斯、伊朗和卢旺达感染了30个组织。此外,卡巴斯基的专家推测,受害者主要位于讲意大利语的国家。

该组织的攻击目标包括政府机构、军事机构、科研中心、电信提供商以及金融机构。

卡巴斯基专家强调指出,ProjectSauron组织的攻击能力非常强大,其每个攻击目标中定制的安全工具无法检测出这些攻击并分析攻击原因。

“ProjectSauron背后的攻击者对锁定的政府组织广泛采用的通信加密软件有极大的兴趣,他们窃取与加密软件关联的关键基础设施服务器的加密秘钥、配置文件和IP地址。”

“ProjectSauron发起的攻击针对各类互联网服务供应商(ISP)。从这一点都能看出,该攻击组织尽力避免创建全新的攻击特征。”

赛门铁克所发现的Strider攻击感染目标最多。该公司自2011年10月以来已发现来自7个不同组织的36台计算机被入侵。赛门铁克发布的分析表明,其中一个Strider受害者之前还感染了Regin间谍软件。Strider攻击包含试探性链接,可将用户连接至Flamer APT团队。该攻击团队主要针对中东的组织。

“Strider发动的攻击包含试探性链接,可将用户连接至之前未被发现的攻击团队Flamer。并且,还使用了Flamer之前用过的Lua模块。其中一个Strider的目标也曾感染过Regin。

安全专家还未发现ProjectSauron利用零日漏洞进行攻击的证据,但他们并不排除该攻击组织利用此类漏洞的可能性。

ProjectSauron APT攻击报告下载

如欲了解更多详情,请参见卡巴斯基发布的详细报告。报告中对于ProjectSauron APT主要观点如下

  • ProjectSauron 是一个模块化的平台,旨在使长期的网络间谍活动。
  • 所有的模块和网络协议使用强加密算法,如 RC6、 RC5、 RC4、 AES、 Salsa20 等
  • ProjectSauron 使用修改过的 Lua 脚本引擎来实现核心平台和其插件。有超过 50 个不同的插件类型
  • ProjectSauron 对于使用加密通信软件的政府机构很感兴趣。窃取了加密密钥、 配置文件和与软件相关的公钥基础结构服务器的 IP 地址
  • 即便是物理隔离的网络,ProjectSauron也有办法窃取数据。它利用了一个精心构造的USB,数据就存储在它的隐藏分区中
  • 这个平台为了返回数据及实时状态报告,频繁的使用DNS协议
  • APT攻击一直在实施,最早可以追溯到2011年6月
  • 最早用于渗透进入受害者的攻击方式仍旧未知
  • 攻击者利用合法的软件分发通道进行大范围扩散

 ProjectSauron APT攻击报告