Ecco Sauron: L'APT Di Cyber-Spionaggio (Tecniche D'Attacco)

Sauron è una piattaforma di cyber-spionaggio attiva dal 2011, in grado di funzionare anche su dispositivi disconnessi da Internet.
Le prime tracce sono state rilevate tramite intercettazione del traffico di rete anomalo di una importante istituzione governativa.
L’APT (Advanced Persistent Threat), presente come libreria solo in memoria (e non su disco, questo per rendere più difficile la localizzazione), è registrata sotto forma di “Windows LSA Password Filter” in un Domain Controller di Windows; quindi è in grado di intercettare i cambi password degli utenti del dominio e ottenere le loro password in chiaro.
Sauron sembra preferire solo alcune regioni del mondo e viene personalizzata a seconda dell' area geografica, quindi si tratta di un vero e proprio strumento in grado di portare attacchi altamente specializzati.
Le organizzazioni attaccate sono soprattutto governative, di ricerca, militari e finanziarie (Cina, Iran, Russia, Belgio, Svezia, Ruanda e forse anche Italia).


FUNZIONALITA'
I password filter sono lo strumento utilizzato per personalizzare i meccanismi di autenticazione in reti con server di dominio Windows.
Ma sono anche utilizzati spesso da rootkit che in modo silente ed illecito installano un loro password filter, che ha come unico scopo quello di intercettare le password in chiaro degli utenti e comunicarle all'attaccante.
In ogni PC infettato viene iniettato un piccolo downloader che si connette ad un IP interno o esterno per scaricare ed eseguire il pay load malevolo di Sauron.
Inoltre è in grado di operare in reti disconnesse da internet, ovvero in modalità “air-gapped”.
Per fare questo formatta le chiavi USB, riservando una partizione cifrata e nascosta ad alcuni dati.
In questo modo la partizione cifrata, non visibile agli utenti, sarà in grado anche di eludere i controlli messi in atto da prodotti di “Data LossPrevention” che monitorizzano proprio l’utilizzo delle chiavi disco USB.
La chiavetta poi, una volta connessa ad un PC con internet, si attiva prendendo i dati sensibili presenti nella partizione cifrata ed inviandoli ai server di C&C.
Sono utilizzate anche anche tecniche come il DNS Tunneling e le e-mail.

Nel caso del DNS, per impedire di essere intercettato viene utilizzata una tecnica che riduce la frequenza dei pacchetti inviati verso l’estero chiamata “low-bandwith” con pacchetti di 30 byte.
Riguardo le mail, Sauron utilizza una tecnica leggermente diversa, ovvero delle email con user-agent “Thunderbird 2.0.0.9”, un breve messaggio di testo nel corpo della e-mail e un file allegato chiamato “data.bin”.
Ma chi si cela dietro al progetto Sauron?
Difficile attribuirne la paternità, come del resto per la maggior parte degli APT di questo livello.
Dopo Regin (intelligence americana ed inglese), Flame, Duqu e Stuxnet (intelligence americana ed israeliana), Sauron rappresenta molto probabilmente un altro APT “governativo” che delinea ancora di più le strategie di cyber-spionaggio approntate dai servizi segreti di tutti i Paesi.