Geavanceerde spionagemalware maakt slachtoffer in België
Symantec en Kaspersky hebben een nieuwe vorm van malware ontdekt. De kwaadaardige code is zo geavanceerd dat men ervan uitgaat dat een inlichtingendienst van een land achter de malware zit. De malware, ProjectSauron genaamd, is actief sinds oktober 2011. De groep cybercriminelen is erg selectief geweest in het kiezen van slachtoffers en is erin geslaagd tot nu toe onopgemerkt te blijven.
Volgens Symantec zijn er slechts 36 computers geïnfecteerd verdeeld over zeven organisaties in vier verschillende landen. Vier organisaties in Rusland, een luchthaven in China, een organisatie in Zweden en een ambassade in België behoren tot de slachtoffers. Symantec kwam de malware op het spoor doordat één van zijn klanten vreemd verkeer op zijn netwerk opmerkte.
Onzichtbare malware
De malware werd ProjectSauron gedoopt naar het bekende personage van Tolkien, omdat er in de kwaadaardige code naar wordt verwezen. In de code wordt gebruik gemaakt van Remsec-malware, welke een modulair design heeft. Deze modules werken samen als een framework dat aanvallers volledige controle geeft over een computer.
[related_article id=”184639″]Doordat Remsec voornamelijk uit blobs (Binary Large Objects) bestaat, is de malware moeilijk te detecteren. Bovendien wordt de malware grotendeels over het netwerk uitgevoerd. Hierdoor wordt de code nooit opgeslagen op de harde schijf van een getroffen pc, wat de malware wederom moeilijk te detecteren maakt.
Spionage
ProjectSauron kan zich doorheen een netwerk bewegen om computers te infecteren. De malware bevat een keylogger die iedere toetsaanslag vastlegt. Verder bestaat de kwaadaardige code uit verschillende vormen van back doors. Een pipe back door zorgt voor toegang tot een pc via named pipes. Een http back door bevat daarentegen verschillende URL’s voor een command and control server.
Symantec en Kaspersky hebben niet de vinger gewezen naar een bepaalde overheid die achter ProjectSauron zou kunnen zitten. De malware bevat echter de code Flamer, welke in het verleden aan de worm Stuxnet werd gelinkt. Er wordt algemeen aangenomen dat deze worm het resultaat is van een samenwerking tussen de Amerikaanse en Israëlische overheid om het atoomprogramma van Iran een halt toe te roepen.