Kaspersky Lab och Symantec Upptäck "Projekt Sauron" Malware

Forskare har hittat avancerad malware som kan stjäla krypteringsnycklar, samla information från airgapped-datorer och spela in någons tangenttryckningar utan att detekteras. Forskarna har ingen aning om vem som utformade malware, heter Project Sauron, men det är så sofistikerat att de är övertygade om att det måste vara en "nationell nivå" organisation. I stället för att peka fingrarna (eller respektera Sagan om ringen lore), de ringer Project Saurons skapare "Strider."

Projekt Sauron skissades i två rapporter, en från Kaspersky Lab och den andra från Symantec.

Båda säkerhetsföretag undrar på sin komplexitet:

"Hottspelaren bakom Project Sauron kommandon en toppmodell cyberspionageplattform när det gäller teknisk sofistikering" skriver Kaspersky Lab i sitt papper om verktyget "Designat för att möjliggöra långsiktiga kampanjer genom smyg överlevnadsmekanismer kopplade till flera exfiltreringsmetoder."

Vilket innebär att det förmodligen inte skapades av en liten grupp människor som gör vad som helst de gör i denna löjliga "hacking" -scenen från Pil:

Istället anser Kaspersky och Symantec att "Strider" troligen är direkt ansluten till en stor världsregering. De två säkerhetsforskningsbolagen pekar inte på fingrarna i Förenta staterna, men för det mesta är Project Saurons mål inte vänner till Amerika.

Kaspersky Lab hittade malware som lurar på datorer i Ryssland, Iran och Rwanda. Symantec fann det också på enheter i Belgien, Sverige och Kina. Projekt Sauron sägs ha riktat ambassader, telekomföretag, vetenskapliga forskningscentra och ett flygbolag, bland andra grupper.

Projektet Sauron har länge lurat på intet ont anande datorer och lär sig från sina föregångare som Flame, Duqu och andra sofistikerade malwareprogram. Det är en extra kod, och både Symantec och Kaspersky är ganska säkra på att "Strider" drivs av en nationell regering.

"Strider kan skapa egna malwareverktyg och har fungerat under radarn i minst fem år", skriver Symantec i sin rapport om den sofistikerade malware. "Baserat på spionagefunktionerna hos sin skadliga programvara och arten av sina kända mål är det möjligt att gruppen är en nationell nivåattacker."

Projekt Sauron byggdes för att undvika upptäckt genom att använda olika filstorlekar, namn och moduler för varje mål vilket gör det svårt för forskare att identifiera den.

"Anfallarna förstår klart att vi som forskare alltid söker efter mönster. Ta bort mönstren och operationen blir svårare att upptäcka, "skriver Kaspersky Lab i sin rapport. "Vi är medvetna om mer än 30 organisationer som attackerats men vi är säkra på att detta bara är ett litet tips på isberget"

Det kan få allvarliga konsekvenser för strider, vem det än kan visa sig.Nordkorea ställdes inför en enorm backlash efter att ha anklagats för att hacka Sony 2014 och, potentiellt, fortsätta att rikta sig mot andra grupper under åren sedan dess.

Om strider visar sig vara amerikansk, skulle det inte vara första gången USA har utplacerat ett hack på denna skala. Det ökända Stuxnet-viruset, som sägs ha skapats av USA och Israel, orsakade allvarlig fysisk skada på Irans kärntekniska anläggningar (det överbelastade några känsliga centrifuger och saker blåste upp). Det kan bara vara en fråga om tid innan Iran äntligen retaliates.

Dessa incidenter, tillsammans med många andra, väcker en viktig fråga om var hacking faller på skalan mellan "brottslighet" och "krigsdeklaration." Till det som bestäms är varje hack en spelning.

Det är givetvis bara sant om Project Saurons skapelse kan tillskrivas ett enskilt nationellt land, och det kommer förmodligen inte att hända när som helst snart. Även om det finns antagligen mycket fingerpekande på bakom stängda dörrar, finns det inte tillräckligt med offentlig information för att avmaskera Strider än. Men Projekt Sauron är skrivet på engelska, det är sofistikerat att undvika forskare i fem år, och det riktade sig till personer i viktiga positioner.

"Attribution är svår och tillförlitlig tillskrivning är sällan möjligt i cyberspace. Även med förtroende för olika indikatorer och tydliga attackerfel finns det större sannolikhet för att dessa är rök och speglar skapade av en angripare med större utsiktspunkt och stora resurser, skriver Kaspersky Lab i ett blogginlägg. "När man arbetar med de mest avancerade hotaktörerna, som det är fallet med Project Sauron, blir tillskrivning ett olöst problem."

För nu kommer Strider att förbli i skuggorna.