"Лаборатория Касперского" вышла на след кибергруппировки ProjectSauron

Впервые специалисты "Лаборатории Касперского" при помощи решения Kaspersky Anti Targeted Attack Platform обнаружили атаку в корпоративной сети одного из своих клиентов в сентябре 2015 года.

По мнению экспертов, кибергруппировка ProjectSauron работает с июня 2011 года. Уже пострадало как минимум три десятка организаций в России, Иране и Руанде. Не исключено, что пострадавших организаций намного больше: традиционные методы выявления кибератак не позволяют обнаружить нападения ProjectSauron.

"Иногда целевые атаки проводятся с помощью дешёвых готовых инструментов, но ProjectSauron — совсем другое дело. Киберпреступники всякий раз разрабатывают новые техники и код скрипта. Стратегия однократного обращения к уникальным инструментам, таким как сервер контроля и ключи шифрования, в сочетании с самыми современными методами других кибергруппировок — довольно новое явление. Помочь справиться с подобными угрозами может только многоуровневый подход к безопасности, включающий в себя средства, позволяющие улавливать любые необычные действия в корпоративной сети, а также сервисы информирования об угрозах и метод криминалистического анализа для поиска самых скрытых и хитроумных зловредов", — рассказал Виталий Камлюк, антивирусный эксперт "Лаборатории Касперского".

Зачастую ProjectSauron использует легитимные скрипты для обновления ПО для загрузки новых зловредов и выполнения нужных команд прямо в памяти атакованного компьютера.

Наибольший интерес группа ProjectSauron проявляет к информации о компонентах ПО для шифрования, ключах, конфигурационных файлах и расположении серверов для передачи зашифрованных сообщений между узлами компаний-жертв.

В "Лаборатории Касперского" уверены, что угрозы со стороны кампании кибершпионажа ProjectSauron сохраняются и в нынешнем году.