"Лаборатория Касперского" вышла на след кибергруппировки ProjectSauron
Фото: © РИА Новости /Владимир Трефилов
Киберпреступники вскрывают защищённые каналы связи государственных организаций, финансовых и телекоммуникационных компаний и научно-исследовательских центров.
Впервые специалисты "Лаборатории Касперского" при помощи решения Kaspersky Anti Targeted Attack Platform обнаружили атаку в корпоративной сети одного из своих клиентов в сентябре 2015 года.
По мнению экспертов, кибергруппировка ProjectSauron работает с июня 2011 года. Уже пострадало как минимум три десятка организаций в России, Иране и Руанде. Не исключено, что пострадавших организаций намного больше: традиционные методы выявления кибератак не позволяют обнаружить нападения ProjectSauron.
"Иногда целевые атаки проводятся с помощью дешёвых готовых инструментов, но ProjectSauron — совсем другое дело. Киберпреступники всякий раз разрабатывают новые техники и код скрипта. Стратегия однократного обращения к уникальным инструментам, таким как сервер контроля и ключи шифрования, в сочетании с самыми современными методами других кибергруппировок — довольно новое явление. Помочь справиться с подобными угрозами может только многоуровневый подход к безопасности, включающий в себя средства, позволяющие улавливать любые необычные действия в корпоративной сети, а также сервисы информирования об угрозах и метод криминалистического анализа для поиска самых скрытых и хитроумных зловредов", — рассказал Виталий Камлюк, антивирусный эксперт "Лаборатории Касперского".
Зачастую ProjectSauron использует легитимные скрипты для обновления ПО для загрузки новых зловредов и выполнения нужных команд прямо в памяти атакованного компьютера.
Наибольший интерес группа ProjectSauron проявляет к информации о компонентах ПО для шифрования, ключах, конфигурационных файлах и расположении серверов для передачи зашифрованных сообщений между узлами компаний-жертв.
В "Лаборатории Касперского" уверены, что угрозы со стороны кампании кибершпионажа ProjectSauron сохраняются и в нынешнем году.