ProjectSauron / Strider

 

Keyfacts

  • entdeckt: September 2015
  • sicher aktiv seit: Juni 2011, erste Codebestand aus 2001 (siehe Update am Ende der Seite)
  • letzte Aktualisierung: April 2016
  • Verbreitung:  Regierungs- und Militär-Organisationen im Iran, Ruanda und Russland sowie Belgien, Schweden und China
  • Infektion und Replikation: betroffen sind nur Windows-Systeme, der konkrete Infektionsweg ist bislang unbekannt, Übertragung durch infizierte USB-Sticks an Air-Gap-Systeme vorgesehen, Replikation in Subnetzen über Software-Aktualisierungs-Kanäle
  • Hauptziel: modulares Konzept für maßgeschneiderte Zugriffe / Operationen, primär Spionage und verschlüsselte Daten
  • Vermutliche Herkunft: unbekannt, Ziele und Komplexität legen aber stark die Vermutung einer staatlichen Herkunft nahe

Relevante Dokumente

Tools-and-techniques-of-ProjectSauron-1024x675Bei ProjectSauron bzw. Strider (die Namen von Kaspersky und Symantec) handelt es sich um eine vermutlich staatlich finanzierte Schadsoftware-Plattform, deren Ziele die langfristige und verdreckte Spionage in IT-Systeme von Regierungsorganisationen, Forschungseinrichtungen, ITK- und Finanz-Unternehmen sowie dem Militär ist. Den Analysen von Kaspkersky zufolge sind Qualität, Komplexität und technisches Know-How der aus vielen einzelnen Modulen zusammen gesetzten Software auf einer Stufe anderer APT Kampagnen wie Duqu, Equation, Flame und Regin (APT = Advanced persisten threat). Mit Hilfe von 50 dieser entdeckten Module wurden das „Angriff-Set“ jeweils maßgeschneidert auf die Ziele zugeschnitten um verdeckte Kanäle aufzubauen und diese über mehrere Jahre aufrecht zu erhalten. Neben diesem hohen Aufwand beim Verbergen der Aktivitäten war die Schadsoftware auch in der Lage Systeme anzugreifen, die vom Internet getrennt betrieben werden (sog. „Air gap“ Systeme). Betroffen sind unterschiedliche Windows-Varianten wobei sich die Malware innerhalb betroffener Subnetze über reguläre Software-Aktualisierungs-Prozeße ausgebreitet und mit Hilfe unterschiedlichster Techniken stabile Kommunikations- und Datenaustauschkanäle zwischen betroffenen Systemen aufgebaut hat:

ProjectSauron usually registers its persistence module on domain controllers as a Windows LSA (Local Security Authority) password filter. This feature is typically used by system administrators to enforce password policies and validate new passwords to match specific requirements, such as length and complexity. This way, the ProjectSauron passive backdoor module starts every time any network or local user (including an administrator) logs in or changes a password, and promptly harvests the password in plaintext.

In cases where domain controllers lack direct Internet access, the attackers install additional implants on other local servers which have both local network and Internet access and may pass through significant amount of network traffic, i.e. proxy-servers, web-servers, or software update servers. After that, these intermediary servers are used by ProjectSauron as internal proxy nodes for silent and inconspicuous data exfiltration, blending in with high volumes of legitimate traffic.

Once installed, the main ProjectSauron modules start working as ‘sleeper cells’, displaying no activity of their own and waiting for ‘wake-up’ commands in the incoming network traffic. This method of operation ensures ProjectSauron’s extended persistence on the servers of targeted organizations. (Q: Kaspersky ProjectSauron FAQ)

Ähnlich wie die vermeintlichen „Vorbilder“ der Schadsoftware bestand das Hauptziel im Sammeln von Informationen (Bildschirmscreenshots, Tastatur-Mitschnitte) und dem Kopieren von sensitiven Dokumenten. Folgende Liste von Dokumenten-Typen wurden durch die Schadsoftware aktiv gesucht, darunter explizit verschlüsselte Dokumente und Verschlüsselungs-Codes:

*.txt;*.doc;*.docx;*.ppt;*.pptx;*.xls;*.xlsx;*.vsd;*.wab;*.pdf;*.dst;*.ppk;*.rsa;*.rar;*.one;*.rtf;~WPL*.tmp;*.FTS;*.rpt;*.conf;*.cfg;*.pk2;*.nct;*.key;*.psw (Q: Kaspersky ProjectSauron FAQ)

Für die Mutmaßung einer gezielten Kampagne zur Spionage von Hochwertzielen passt auch, dass durch ProjectSauron nach Datenübertragungsinformationen gesucht wurden, die durch eine spezielle Software zur Verschlüsselung von Kommunikationsverbindungen entsteht, die insbesondere im staatlichen Bereich eingesetzt wird:

ProjectSauron actively searches for information related to rather uncommon, custom network encryption software. This client-server software is widely adopted by many of the target organizations to secure communications, voice, email, and document exchange. (Q: Kaspersky ProjectSauron FAQ)

Der Code der Schadsoftware selbst ist weitestgehend verschlüsselt und wurde für jeden Angriff neu erstellt, sodass er sich einer effektiven Analyse durch IT-Sicherheitsexperten entzieht. Auch darüber hinaus scheint es, als haben die Entwickler der Kampagnen sehr viel Sorgfalt darauf verwandt um aus früheren APT-Kampagnen, deren Konzepten, Fehlern und Schwächen – die zur Entdeckung geführt haben – zu lernen.

(..) it appears that the attackers took special care with what we consider as indicators of compromise and implemented a unique pattern for each and every target they attacked, so that the same indicators would have little value for anyone else. This is a summary of the ProjectSauron strategy as we see it. The attackers clearly understand that we as researchers are always looking for patterns. Remove the patterns and the operation will be harder to discover.  (Q: Kaspersky ProjectSauron FAQ)

Konkrete Ähnlichkeiten im Quellcode oder den Signaturen der Schadsoftware zu bekannten älteren Vorfällen wurden jedoch nicht entdeckt. Da für ProjectSauron auch (soweit bislang bekannt) keine Zero-Day-Exploits eingesetzt wurden, bestehen auch hier keine Verwandschaftsbeziehungen.

Hinsichtlich der Herkunft der APT-Kampagne lassen Quellcode und Signaturen keine Rückschlüsse zu. Trotzdem kommen die Analysen von Kaspersky zu dem Schluß, dass auf Basis der Komplexität der Kampagne mit hoher Wahrscheinlichkeit ein Staat zu suchen ist:

We think an operation of such complexity, aimed at stealing confidential and secret information, can only be executed with support from a nation-state. (Q: Kaspersky ProjectSauron FAQ)

Update zum zeitlichen Rahmen von ProjectSauron:

Aktuelle Analysen zeigen, dass die Schadsoftware möglicherweise noch viel länger als bisher angenommen wurde bereits Bestandteil eines komplexen und stetig weiterentwickelten Schadsoftware-Frameworks von außerordernlicher Qualität sind:

Sauron appears to be the product of a long-lived, continually evolving, large-scale development. While the bulk of the code may be new, there are indications that a number of components—notably those protocols using RC5 and RC6—arose prior to 2001 while other pieces kept receiving enhancements. (..) Other components speak to an even older history. Various encryption libraries include the RC6 and RC5 encryption algorithms, which are sensible but still strangely obsolete choices. RC5 dates back to 1994 and RC6 succeeded it in 1998. There is no real reason to use RC5 after RC6’s definition. Furthermore, RC6 was a candidate for the AES standard, a federal standard for cryptography, and there was no sense using RC6 after 2001 when the AES standard group decided on Rijndael. Another component uses the Salsa20 stream cypher developed by Daniel Bernstein in 2005. Again, this is a probably good cypher, but overcome by a superior successor Bernstein developed in 2007, ChaCha20. Taken together, these aspects suggest older protocols. Even if you write new code, if you need it to interact with an older system, using an older cryptographic protocol, your new code will use the old algorithm.

Share Button