Die Initiatoren von ProjectSauron haben sich von bereits existierender Spionage-Software, ebenso wie beispielsweise Duqu inspirieren lassen und diese weiter verbessert so Sicherheitsforscher in ihren Erklärungen. Der Fokus von ProjectSauron liegt auf der Durchführung von maßgeschneiderten staatlichen Spionage-Kampagnen.
Sicherheitsforscher von Kaspersky stießen erstmals im September 2015 auf den Schnüffel-Trojaner, analysierten seine komplexe Arbeitsweise und veröffentlichten nun einen Bericht.
Die Ergebnisse legen nahe, dass es sich um einen "nationalstaatlichen Bedrohungsakteur" handelt der seit Juni 2011 bis in die Gegenwart operiert. Die Spionage-Kampagnen seien modular aufgebaut und die Drahtzieher haben für verschiedene Angriffsziele maßgeschneiderte Lösungen parat, macht verständlich Kaspersky. Betroffen seien Computer mit verschiedenen Windows-Versionen.
Gezielt verschlüsselte Infos abziehen
ProjectSauron soll es insbesondere auf verschlüsselte Kommunikation abgesehen haben und dabei gezielt Daten herausfiltern. Um kopierte Infos auswerten zu können – greife der Schädling wenn möglich Passwörter & Schlüssel ab. Bisher sind Infektionen unter anderem von Regierungs-Organisationen und dem Militär aus italienischen Ländern, dem Iran, Ruanda und Russland bekannt. Weitere Organisationen & Regionen sind Kaspersky zufolge sehr wahrscheinlich ebenfalls betroffen.
Bei der Arbeitsweise orientiere sich ProjectSauron an professioneller Spionage-Software wie Duqu, Equation, Flame und Regin. Die Hintermänner von ProjectSauron sollen viele Techniken der Superspione übernommen haben. Zusätzlich wurden weitere Taktiken implementiert · zu diesem Zweck ProjectSauron unentdeckt arbeiten kann · führen die Sicherheitsforscher aus. Der ursprüngliche Infektionsweg ist jedoch bis heute unbekannt.
Vermeidung von Mustern
Damit der Spionage-Trojaner bei seiner Arbeit möglichst wenig Aufsehen erregt, soll er bewusst Muster vermeiden und sich effektiv verstecken. So stricke ProjectSauron Kaspersky zufolge für seine Ziele stets individuelle Kampagnen die in der jeweiligen Form immer nur einmal zum Einsatz kommen. Demnach weisen etwa Kern-Elemente einer Aktion immer unterschiedliche Dateinamen und -größen auf um eine Entdeckung zu erschweren. Zusätzlich verschlüssele der Schädling seine Module & Netzwerk-Protokolle.
Ist ein Computer infiziert, soll ProjectSauron die Skripte von legitimen Software-Updates missbrauchen und als Backdoor arbeiten. So soll der Schädling neue Module herunterladen und Befehle der Angreifer im Speicher ausführen können. Zudem setzt ProjectSauron den Sicherheitsforschern zufolge aus Gründen der Flexibilität auf LUA-Skripte was bei Malware eher nicht häufig der Fall ist. So können die Entwickler etwa weiterhin als 50 Plug-ins implementieren.
Der Schädling soll sich auf nicht an ein Netzwerk oder das Internet angeschlossene Air-Gap-Systeme schleichen können. Das geschehe über einen präparierten USB-Stick, auf dem kopierte Informationen in einem versteckten Bereich abgelegt werden, erläutert Kaspersky.
Kommentare