شرکت امنیت سایبری کسپرسکی از کشف بدافزاری پیشرفته موسوم به «پروژه سارون» خبر داد. کسپرسکی مدعی شده است که این پروژه با پیچیدگیهای فنی بسیار، مسئول حملات سایبری بسیار گستردهای علیه سازمانهای کلیدی دولتی در چند کشور جهان از جمله ایران است.
گروه امنیت سایبری؛ ابتدا چکیده این گزارش و در ادامه متن کامل آن تقدیم شده است.
· چندی پیش شرکت امنیت سایبری کسپرسکی از کشف بدافزاری پیشرفته موسوم به «پروژه سارون» خبر داد. کسپرسکی مدعی شده است که این پروژه با پیچیدگیهای فنی بسیار، مسئول حملات سایبری بسیار گستردهای علیه سازمانهای کلیدی دولتی در چند کشور جهان از جمله ایران است و به منظور انجام عملیاتهای بلندمدت طراحی شده است.
· بر اساس گزارش شرکت تولیدکننده آنتیویروس سیمانتک، این بدافزار حداقل از سال 2011 تا 2016 فعالیت داشته و موفق به فریب پیچیدهترین سیستمهای شناسایی شده است.
· پروژه سارون از لحاظ پیچیدگی و پیشرفته بودن با خطرناکترین تهدیدات APT از جمله اکوئیشن، رجین، دوکو و کارتو برابری میکند؛ بدافزارهایی که ارتباط اکثر آنها با آژانس امنیت ملی آمریکا، اسرائیل و همچنین سرفرماندهی ارتباطات دولتی بریتانیا تأیید شده است.
· پروژه سارون که به منظور جاسوسی سایبری طراحی شده، قادر است فعالیتهایی از جمله نفوذ به شبکههای داخلی سازمانها و سیستمها، سرقت اطلاعات شخصی و پیدا کردن رمز عبور سیستم عاملها از طریق رديابي حركت كليدهاي صفحه كليد کامپیوترهای قربانی را انجام دهد.
چندی پیش شرکت امنیت سایبری کسپرسکی[1] از کشف بدافزاری پیشرفته موسوم به «پروژه سارون»[2] خبر داد. کسپرسکی مدعی شده است که این پروژه با پیچیدگیهای فنی بسیار، مسئول حملات سایبری بسیار گستردهای علیه سازمانهای کلیدی دولتی در چند کشور جهان از جمله ایران است و به منظور انجام عملیاتهای بلندمدت طراحی شده است. بر اساس گزارش شرکت تولیدکننده نرمافزار آنتیویروس سیمانتک (Symantec)، این بدافزار حداقل از سال 2011 تا 2016 فعالیت داشته و موفق به فریب پیچیدهترین سیستمهای شناسایی شده است. محققان شرکت سیمانتک بر این باورند که گروهی از هکرها به نام استرایدر[3] این پروژه را طراحی کردهاند و در نتیجه نام آن را «استرایدر» گذاشتهاند. کسپرسکی هم که کلمه سارون را در پیکربندی فایلهای این بدافزار یافته بود، نام آن را سارون نهاد. محققان این دو شرکت معتقدند که احتمال اینکه این هکرها هنوز فعالیت خود را متوقف نکرده باشند، وجود دارد.
کسپرسکی، کاشف پروژه سارون
چندی پیش یکی از مشتریان شرکت کسپرسکی از این شرکت خواست تا دلیل وجود ترافیک غیر عادی در شبکه سیستمهایش را پیدا کند. محققان این شرکت به بررسی این موضوع پرداختند و نهایتاً تجزیه و تحلیل نتایج به دست آمده به کشف یک برنامه اجرایی ناشناخته انجامید. بر اساس گزارشهای شرکت کسپرسکی، این پروژه که از بدافزاری پیشرفته به نام «رمسک» استفاده میکرد، با پیدا کردن رمز عبور سیستم عامل قربانی به اطلاعاتی حساس دسترسی پیدا کرده بود. به علت پیچیدگی بسیار این پروژه و عدم تبعیت از الگویی خاصی در طراحی آن، کشف آن کار دشواری بوده است و تا پیش از بررسیهای انجام شده توسط کسپرسکی هیچ یک از سازمانهایی که این پروژه به آنها حمله کرده بود، نتوانستند آن را شناسایی و با آن مقابله کنند. هکرها با اطلاع داشتن از اینکه که محققان برای پیدا کردن آنها همواره به دنبال الگوها هستند برای حمله به هر یک از اهداف مورد نظر، نسخهای متفاوت از بدافزار با حجمها و اسامی گوناگون طراحی کرده بودند تا احتمال لو رفتن عملیات به حداقل برسد.
پروژه سارون یکی از پیشرفتهترین حملات APT [4]
حملات APT یا «تهدیدات پیشرفته و مستمر»، به حملات سایبری پیچیدهای گفته میشود که سازمانها و مراکز مهم را هدف قرار میدهند و توانایی پنهان ماندن تا مدت زیادی را دارند. در سالهای اخیر تعداد این حملات افزایش چشمگیری داشته است. بسیاری از حملات APT با مقاصد مالی انجام میشوند و معمولاً چندین کشور در یک منطقه جغرافیایی را مورد حمله قرار میدهند. هدف مهاجمان APT به دست آوردن اطلاعات صنایع یا سازمانهای خاص است، اما پروژه سارون بسیار گزینشی عمل کرده است و تنها تعداد معدودی از کشورها در نقاط مختلفی از جهان را به منظور جمعآوری اطلاعات بسیار با ارزش تمام مراکز کلیدی منطقه مورد نظر، هدف قرار داده است؛ بنابراین به طور قطع هدف از طراحی پروژه سارون، جاسوسی سایبری از کشورها بوده است.
پروژه سارون از لحاظ پیچیدگی و پیشرفته بودن با خطرناکترین تهدیدات APT از جمله اکوئیشن [5]، رجین [6]، دوکو [7] و کارتو [8] برابری میکند. حملات APT بسیار پیشرفته، معمولاً ویژگیهای مشترکی دارند، از جمله اینکه معمولاً توانایی هدف قرار دادن چندین سازمان دولتی در کشورهای مختلف را دارا هستند؛ این بدافزارها تا قبل از شناسایی شدن اطلاعات گستردهای را سرقت و پس از آن از چندین کانال برای خروج مخفیانه استفاده میکنند. آنها از مسیرهایی ناشناخته برای رسیدن به هدف خود استفاده میکنند و قادرند با استفاده از روشهای خاصی حفرههای امنیتی در نرمافزارهای سیستمهای هدف را پیدا و از آن برای حمله به قربانی خود استفاده کنند. پروژه سارون اکثر این ویژگیها را دارا است اما اینکه توانسته باشد با روشهای خاص حفرههای امنیتی در سیستمها را پیدا کند، به اثبات نرسیده است. با این حال، از آنجا که پروژه سارون توانایی نفوذ به سیستمهای air-gapped [9] را دارد و رمز گذاری فایلها در USBهایی که به این سیستمها متصل میشوند، به تنهایی به مهاجمان توانایی کنترل سیستمهای air-gapped را نمیدهد، در نتیجه این کار باید با حمله به حفرههای امنیتی نرمافزارها انجام شده باشد. پیدا نشدن چنین تواناییای در بررسیهای انجام شده روی پروژه سارون، میتواند به این دلیل باشد که چنین حملاتی تنها توسط نسخههایی از این بدافزار که پیدا کردن آنها سختتر است و کمتر مورد استفاده قرار گرفتهاند، انجام شده باشد.
هک رمز عبور سیستمها توسط پروژه سارون
پروژه سارون که به منظور جاسوسی سایبری طراحی شده، قادر است فعالیتهایی از جمله نفوذ به شبکههای داخلی سازمانها و سیستمها، سرقت اطلاعات شخصی و پیدا کردن رمز عبور سیستم عاملها از طریق رديابي حركت كليدهاي صفحه كليد کامپیوترهای قربانی را انجام دهد. وقتی که برنامه سارون نصب میشود، ابتدا هیچ گونه فعالیتی از خود نشان نمیدهد و منتظر میماند تا در فرصتی مناسب که در حافظه این برنامه توسط مهاجمان برنامهریزی شده فعالیت خود را شروع کند. این روش عملکردی، به این برنامه اجازه میدهد تا بدون اینکه شناسایی شود در سرور سیستمهای هدف برای مدت بیشتری بماند.
ویژگیهایی که پروژه سارون را تبدیل به بدافزار جاسوسی پیشرفته کرده است
پروژه سارون چندین مشخصه دارد که آن را به یک بدافزار جاسوسی پیشرفته تبدیل کرده است. این مشخصهها عبارتند از:
1) اتخاذ رویکردی منحصر به فرد: عاملان این پروژه حدود 50 نسخه بدافزاری متفاوت با اسامی و سایزهای مختلف طراحی و هر یک از آنها را به سیستمهای یک هدف خاص وارد کردند؛ برخی از این نسخههای بدافزاری ظاهر و اسامیای مشابه فایلهای تولید شده توسط مایکروسافت داشتند که میتوانستند به راحتی کاربر را فریب داده و شناسایی آن را برای محققین بسیار دشوارتر کنند. پروژه سارون برای ارسال اطلاعات جمع آوری شده از سیستمهای هدف و رساندن آن به دست مهاجمان از روشهای گوناگون و متنوعی استفاده میکند.
2) نصب شدن روی حافظه سیستم: این بدافزار که به زبان باینری (صفر و یک) نوشته میشود، معمولاً بر روی حافظه سیستم ذخیره میشود، کنترل سیستم را به دست میگیرد و به مهاجم امکان آلوده کردن دوباره سیستم، بدون اینکه از خود ردی باقی بگذارد را میدهد.
3) توانایی دسترسی به ارتباطات رمزگذاری شده: این بدافزار همچنین میتواند به اطلاعات مدارک و ایمیلهایی که از امنیت بالایی برخوردارند، دسترسی پیدا کند.
4) عبور از سیستمهای air-gapped: رمسک از USB حاوی فایلهای مخفی به منظور نفوذ به سیستمهای air-gapped که به اینترنت متصل نیستند و در نتیجه از امنیت بالایی در مقابل تهدیدات سایبری برخوردار هستند، استفاده میکند. در گذشته، ویروس استاکسنت این توانایی را به اثبات رسانده است.
بدافزار رمسک که کار خود را با تغییر کدهای برنامه نویسی در سیستمهای هدف انجام میدهد، با وارد شدن به سیستمها به عنوان نرم افزار دانلود عمل میکند و بعد از اتصال به آدرس IP کامپیوتر هدف، کل پروژه را از آنجا دانلود میکند. پروژه سارون برای نفوذ به تمام نسخههای جدید سیستم عامل مایکروسافت ویندوز طراحی شده است.
پروژه سارون محصول کشوری قدرتمند
سارون پروژهای بسیار پیشرفته است که در طراحی آن از چندین گروه متخصص با دانش فنی بسیار بالا استفاده شده و میلیونها دلار صرف اجرایی شدن آن شده است. بر اساس گزارشهای شرکت کسپرسکی و سیمانتک، پیچیدگی پروژه سارون و هدف قرار دادن سازمانهای مهم در کشورهای خاص نشان میدهد که هدف پروژه دزدیدن اطلاعات بسیار محرمانه بوده و در نتیجه مسلماً دولت یا دولتهایی قدرتمند مسئول آن هستند. بهره بردن از تکنیکهای جاسوسی بسیار پیشرفته، احتمال دست داشتن کشورهای غربی در ساخت این پروژه را تقویت میکند.
دشمنان آمریکا هدف اصلی پروژه سارون
بر اساس گزارشهای کسپرسکی، پروژه سارون بیش از 30 سازمان در کشورهای مختلف اعم از ایران، روسیه، جمهوری رواندا و برخی از کشورهای ایتالیایی زبان را هدف قرار داده است. از بین این حملات 36 حمله به 7 سازمان در چهار کشور بلژیک، سوئد، روسیه و چین صورت گرفته است که مراکز مهمی از جمله سفارتخانهای در بلژیک، سازمانی در سوئد و یک خط هوایی در چین را شامل میشود. این بدافزار همچنین چندین مرکز دولتی، سایتهای نظامی و سیستمهای شرکتهای فناوری اطلاعات، سیستمهای مخابراتی و مراکز تحقیقات علمی را مورد حمله سایبری قرار داده است.
احتمال دست داشتن آمریکا در پروژه سارون
اگرچه که محققان دو شرکت امنیتی سیمانتک و کسپرسکی انگشت اتهامشان را به سمت ایالات متحده نگرفتهاند، اما اهداف این پروژه عمدتاً سازمانها و اشخاصی بوده است که مورد توجه سازمانهای جاسوسی کشورهای غربی بودهاند و همچنین کشورهایی را مورد هدف قرار داده که اکثراً دشمنان ایالات متحده هستند. این پروژه از تکنیکهایی در طراحی بهره برده است که تعدادی از آنها پیشتر در بدافزارهای فلیم، دوکو، اکوئیشن و رجین مورد استفاده قرار گرفته بودند؛ بدافزارهایی که ارتباط اکثر آنها با آژانس امنیت ملی آمریکا [10]، اسرائیل و همچنین سرفرماندهی ارتباطات دولتی بریتانیا [11] تأیید شده است و در برخی موارد کشورهای استرالیا، کانادا و نیوزلند که با ایالات متحده و انگلیس ائتلاف جاسوسی پنج چشم را تشکیل میدهند هم در این پروژهها دخالت داشتند. با این حال نمیتوان به طور قطع گفت که پروژه سارون کار پنج چشم یا سازمانهای مربوط به ایالات متحده است. البته اگر سارون کار آمریکا باشد این اولین باری نیست که آمریکا جاسوسی سایبری در چنین مقیاسی را برنامهریزی میکند. در سال 2012، ویروس استاکسنت که توسط آمریکا و اسرائیل طراحی شده بود به تأسیسات هستهای ایران حمله کرد.
شباهت زیاد سارون با بدافزارهای ساخته آمریکا و همپیمانانش
بر اساس تحقیقات کسپرسکی پروژه سارون هیچ گونه کد مشترکی با بدافزارهای فوق پیشرفته از قبیل فلیم، دوکو و رجین که پیشتر کشف شدهاند، ندارد؛ با این وجود شباهتهایی در طراحی پروژه سارون و این بدافزارها وجود دارد؛ در ساخت پروژه سارون از تکنیکهای پیشرفتهای بهره برده شده که از آنها در ساخت دوکو، فلیم، رجین و بدافزارهای اکوئیشن گروپ استفاده شده بود.
شباهت سارون با فلیم
بر اساس بررسیهای محققان شرکت امنیتی کسپرسکی، پروژه سارون با بدافزار فلیم شباهتهای ساختاری زیادی دارد. در سال 2012 ابزاری جاسوسی به نام فلیم کشف شد که به مدت 6 سال شبکههای کامپیوتری چندین کشور در خاورمیانه بالأخص ایران را آلوده کرده بود. این حمله که به اسرائیل و آمریکا و بعدها به سرفرماندهی ارتباطات دولتی بریتانیا نسبت داده شد، با بدافزار استاکسنت که تأسیسات هستهای ایران را هدف قرار داد نیز شباهتهای زیادی داشت. بر اساس این استدلالها، پروژه سارون میتواند حلقه بعدی این زنجیره و جزئی از برنامه مشترک این کشورها باشد. شباهت فنی پروژه سارون به بدافزار فلیم در استفاده از زبان برنامه نویسی Lua است؛ با این تفاوت که در پروژه سارون این زبان در مقایسه با فلیم اندکی ارتقاء یافته است. این زبان برنامه نویسی که حجم کمی دارد و تنها 100 کیلو بایت فضا اشغال میکند، میتواند چارچوب مناسبی برای یک بدافزار باشد. شباهت دیگر پروژه سارون به فلیم توانایی هر دو بدافزار در حمله به سیستمهای air-gapped از راه دور است.
شباهت سارون با دوکو
دوکو بدافزار پیشرفته دیگری است که رژیم صهیونیستی از آن به منظور جاسوسی از مذاکرات هستهای ایران استفاده میکرده است. این بدافزار همانند سارون از چندین نسخه بدافزاری با اسامی و حجمهای متفاوت برای حمله به هر یک از اهداف استفاده کرده بود. شباهت دیگر دوکو با سارون ذخیره شدن هر دو بدافزار روی حافظه سیستم و در نتیجه توانایی بالای آنها در کنترل سیستمهای هدف است.
شباهت سارون با رجین و اکوئیشن گروپ
گروه جاسوسی اکوئیشن گروپ (Equation Group) که یکی از گروههای پیشرفته جاسوسی وابسته به NSA است، با بدافزار رجین که طبق افشاگریهای پیشین کسپرسکی کار گروه جاسوسی پنج چشم بوده است، ارتباط دارد و هر دو این بدافزارها با پروژه سارون شباهتهای ساختاری اعم از توانایی حمله به سیستمهای air- gapped و پنهان کردن فایلهای حاوی بدافزار را دارند. نکته قابل توجه دیگر این است که یکی از اهدافی که پروژه سارون به آن حمله کرده است، پیشتر توسط بدافزار رجین نیز مورد حمله قرار گرفته بود.
با وجود اینکه، محققان دو شرکت سیمانتک و کسپرسکی علت این شباهتها را مطالعه مهاجمان پروژه سارون بر روی بدافزارهای فلیم، رجین، دوکو و اکوئیشن و استفاده آنها از نقاط قوت این بدافزارها و درس گرفتن از نقاط ضعف آنها میدانند، به دلیل پیچیدگی زیاد پروژه و لزوم داشتن دانش فنی بسیار بالا به منظور الگوبرداری از این بدافزارها، باز هم میتوان گفت که احتمال دست داشتن عاملان بدافزارهای پیشین در این پروژه وجود دارد.
منابع:
https://www.rt.com/news/355165-sauron-malware-cyber-espionage
https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt
https://www.privacyinternational.org/sites/default/files/Witness_Statement_Of_Eric_King.pdf
https://www.inverse.com/article/19401-project-sauron-malware-strider
https://threatpost.com/projectsauron-apt-on-par-with-equation-flame-duqu/119725
http://www.bankinfosecurity.com/espionage-malware-penetrates-air-gapped-networks-a-9331
http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets
http://www.bbc.co.uk/news/technology-37021957
[1] Kaspersky
[2] project sauron
[3] Strider
[4] Advanced Persistent Threat
[5] Equation
[6] Regin
[7] Duqu
[8] Careto
[10] NSA
[11] GCHQ