Шпионская платформа, состоящая из порядка 50 различных модулей, получила название ProjectSauron из-за того, что имя могущественного злодея из "Властелина колец" упоминается в ее программном коде. Как утверждается в подробном отчете "Лаборатории Касперского", о существовании платформы стало известно в сентябре 2015 года благодаря тому, что продукт лаборатории под названием Kaspersky's AntiTargeted Attacks Platform обнаружил нездоровую сетевую активность в системе одного из крупных постоянных клиентов. Хакерский модуль нашли на сетевом контроллере, где он маскировался под настоящий, легитимный windows-процесс и собирал пароли.
Ниточка распутывалась около полугода. В процессе выяснилось, что во всем мире заражены как минимум 30 крупных и очень крупных компаний и организаций из России, Ирана, Руанды и стран, в которых говорят по-итальянски. И это только то, что известно "Лаборатории Касперского".
Выбор жертв обычен и необычен одновременно — финансовые компании, телекоммуникационные компании, исследовательские центры, военные и правительственные структуры. "Необычно" в этом то, что если бы за проектом стояли "коммерческие" хакеры, они бы уделили внимание целям с деньгами. "Обычность" же заключается в том, что этот набор — типичен для хакеров на службе государства. Чем авторы "Проекта Саурон" не занимались, так это промышленным шпионажем.
"Лаборатория Касперского" не называет страну, которая может стоять за созданием ProjectSauron, но однозначно говорит о том, что за хакерской платформой торчат уши какого-то государства.
Дело не только в выборе целей, но также в том, что насколько сложный и дорогой получился продукт. Оказалось, что под каждую отдельную цель создатели "Саурона" создавали собственную инфраструктуру, которая не использовалась больше ни в одном другом "проекте". Фактически речь идет о штучном продукте, работе по избранным целям — для большей эффективности и того, чтобы если что-то пойдет не так, другие "проекты" не были затронуты и не пострадали. Это очень дорого и очень необычно для реальной жизни. Настолько, что чаще всего обыватель узнает о таких проектах из книг и фильмов.
Но не только это "взято" из Голливуда — возможности "Проекта Саурон" также почти фантастичны. Одна из самых необычных его способностей — возможность считывания данных с изолированных от интернета систем через, буквально, "флешку" (как в очень плохом голливудском кино). Судя по описанию "Лаборатории Касперского", в ProjectSauron существуют модули, которые накапливают информацию, сидя в памяти машин, лишенных доступа в интернет — с тем, чтобы сбросить ее на специальный USB-диск сразу после того, как тот будет вставлен в разъем. При этом запись осуществляется на скрытый от операционной системы раздел объемом несколько сотен мегабайтов. Более того — хакерские модули умеют обходить даже профессиональную защиту и запреты на запись на флешки (или считывания с них). Как в кино — вставил флешку, считал данные в обход любых механизмов защиты, положил флешку в карман и пошел. Красота!
При этом модули вирусного ПО принципиально игнорировали диски компьютеров и серверов и старались жить исключительно в оперативной памяти, где их сложно обнаружить. Кроме того, ProjectSauron использовал распространенные протоколы передачи данных, "подмешивая" в них свой траффик и активно использовал шифрование для передачи данных. Кстати, шифрование — это "конек" платформы, так как практически везде, где она появлялась, одновременно со сбором паролей, IP-адресов серверов и документов, она "высасывала" и любые данные, содержащие в себе информацию о ключах и шифрах.
Интересующиеся техническими деталями приглашаются прочитать отчет. Остальным достаточно знать, что организации, которые определенно заботятся о своей кибер-безопасности и нанимают для защиты крупных вендоров с хорошей историей выведения на чистую воду хакеров разной квалификации, не могли обнаружить ProjectSauron на протяжении пяти лет. Неуловимый и всемогущий вирус… в каком фильме мы это видели?
Несмотря на то что "Лаборатория Касперского" изучала ProjectSauron около года и нашла десятки жертв среди своих клиентов, некоторые из которых были заражены аж с 2011 года, специалисты компании до сих пор не знают, как точно происходило заражение систем. Например, чтобы из примера выше компьютеры, лишенные доступа в интернет, начали собирать разную информацию, их для начала нужно заразить, верно?
По мнению профессионалов, заражение происходило как через легитимные каналы распространения софта, так и через так называемые "уязвимости нулевого дня" — бреши в операционных системах, неизвестные самим разработчикам и потому не закрытые патчами. Самое плохое, что, по крайней мере, часть таких брешей до сих пор остается неизвестной, а значит — кем-то используется.
То, что эти бреши за годы существования "Саурона" не всплыли ни в одном другом вирусе — тоже очень необычно. Похоже, создателей этого "проектика" вообще, абсолютно, ни на грамм не волновали финансовые вопросы.
По мнению "Лаборатории Касперского" за ProjectSauron стоит несколько команд крайне высококвалифицированных хакеров и специалистов разного профиля, которые оперируют бюджетами, исчисляющимися миллионами долларов США. Фактически это живая иллюстрация хорошо известного в мире кибербезопасности постулата о том, что взломать можно все, что угодно, если атакующие обладают неограниченными бюджетом и временем. Именно это делает факт существования ProjectSauron настолько захватывающим и показательным. Обнаружение хакерских платформ такого уровня происходит не чаще, чем раз в несколько лет.
Фактически это живая иллюстрация хорошо известного в мире кибербезопасности постулата о том, что взломать можно все, что угодно, если атакующие обладают неограниченными бюджетом и временем.
Хакеры, создавшие ProjectSauron и около 50 его модулей на все случаи жизни, тщательно изучали все крупные и известные хакерские и шпионские платформы — Duqu, Flame, Equation и Regin. Что особенно подчеркивают в "Лаборатории Касперского" — не только изучали, но и учились на ошибках их создателей, взяв из них все лучшее и избавившись от ярких недостатков. И создали почти что идеал.
Идеал, который теперь — после того как "Лаборатория Касперского" приготовила инструменты для вычисления наличия в системах "Саурона" и поделилась ими со всеми конкурентами — бесполезен. Кому-то где-то под каким-то флагом надо начинать все сначала и вновь тратить миллионы долларов налогоплательщиков. Но в этом фильме непременно будет сиквел, а может быть, и не один.
