Symantec i Kaspersky Lab próbują rozgryźć szpiegujące "Oko Saurona"
Oko Saurona nie kojarzy nam się z niczym miłym. Demoniczne i złowieszcze oko było metaforą obecności zła w tolkienowskim Śródziemiu. Sprawiało wrażenie, że zna wszystkie tajemnice bohaterów.
Nie inaczej jest z programem ochrzczonym właśnie "okiem Saurona" przez specjalistów od bezpieczeństwa. Należący on do kategorii APT (czyli advanced persistent threat - zaawansowane stałe źródło zagrożenia) system, w którego kodzie źródłowym znaleziono słowo SAURON, to właściwie cały ekosystem współpracujących ze sobą elementów. Wiodące firmy analizujące tego typu zagrożenia, między innymi Symantec oraz Kaspersky Lab, przyznają, że nie jest do końca znana zasada jego rozprzestrzeniania. W ogóle zaś nie jest znane jego pochodzenie i przeznaczenie.
Sauron może działać już od 2011 roku i do niedawna pozostawał nieodkryty.
Już to świadczy o dużym zaawansowaniu technicznym twórców tego programu. Częściowo potrafi ukrywać się w pamięci komputerów, a nawet rozprzestrzeniać się na pustych dyskach USB - był w stanie znaleźć sobie tam miejsce niewidoczne dotąd dla antywirusów. Oznacza to, że dostawał się nawet na komputery oddzielone tzw. air-gapem czyli nie podłączone bezpośrednio do Internetu ani innych sieci zewnętrznych. "Ale przecież na takich komputerach można używać tylko autoryzowanych i szyfrowanych dysków USB" - powiecie. Jak się okazuje, Sauron i w takich warunkach sobie radził i udawało mu się skopiować nawet na zablokowane dyski USB.
Jak twierdzi w swoim raporcie firma Kaspersky:
Do czego mógł służyć odnajdywany głównie w Belgii, Szwecji, Rosji i Chinach program? Autorzy opublikowanego na Securelist raportu definiują zawarte w nim moduły następująco:
- Remsec - złośliwe oprogramowanie służące jako backdoor, punkt wejścia ataku.
- Loader - ukrywający się pod nazwą MSAOSSPC.DLL moduł odpowiedzialny jest za ładowanie i uruchamianie innych modułów. Zajmuje się też zapisywaniem dziennika uruchomienia oraz deszyfrowaniem ukrytych plików. Próbuje przeżyć przez podszywanie się pod usługę typu SSP (Security Support Provider). To właśnie dzięki takiej architekturze raport firmy nazywa Saurona "modularną platformą do szeroko zakrojonych kampanii szpiegowskich".
- Moduły napisane w języku programowania Lua. Remsec posiada własny interpreter tego języka, przez co podejrzewa się że pomyślany został nako narzędzie międzyplatformowe. Wśród modułów znajduje się słynny keylogger (program wysyłający do szpiegującego działania szpiegowane użytkownika), mający w swoim kodzie źródłowym kod SAURON_KBLOG_KEY. To od niego właśnie wzięła się nazwa kodowa systemu. Oprócz tego znalezione zostały moduły do nasłuchiwania szpiegowanej sieci, tworzenia backdoorów (tylnych wejść do systemu), a nawet prosty serwer HTTP oferujący możliwość zdalnego sterowania przejętym systemem (tzw. C&C czyli Command and Control server).
Obie firmy zapowiadają dalsze poszukiwanie modułów Stridera i ściśle współpracują z instytucjami, które mogą być zagrożone atakiem. Zagrożone są maszyny na których uruchomione są wszystkie wersje Windows od Windows XP począwszy, zarówno w wersjach 32 jak i 64 bitowych. W kodzie źródłowym odnaleziono ślady tego, co interesuje atakujących: wzorce poszukiwania plików i słowa kluczowe (np. do wyszukania w mailu). Co ciekawe, są to słowa angielskie i włoskie (np. secret i segreto).
W przygotowanym przez firmę Kaspersky raporcie wspomina się delikatnie, że stworzenie i utrzymanie takiego systemu jak Strider kosztuje wiele milionów dolarów i wymaga wsparcia "na poziomie państwowym" (nation-state).
W przetłumaczeniu na nasze, oznacza to zazwyczaj zaangażowanie agencji wywiadu Rosji, Korei Północnej lub Chin.