SPIA E LASCIA SPIARE - SCOPERTA LA PIATTAFORMA DI CYBER-SPIONAGGIO “SAURON”, ATTIVA OVUNQUE NEL MONDO: COPIA E SOTTRAE DATI DI NASCOSTO - PRESE DI MIRA AGENZIE NAZIONALI, ISTITUTI DI RICERCA, ORGANIZZAZIONI MILITARI, NONCHÉ SOCIETÀ DI TELECOMUNICAZIONI E FINANZIARIE
Da “Repubblica.it”
Ha il nome dell'essere mostruoso del Signore degli Anelli e in fondo un po' mostro lo è visto copia e sottrae dati di nascosto in rete. Il Progetto Sauron è un Apt (Advanced Persistent Threat) attivo sin dal 2011 e fino al 2016 e scoperto dai ricercatori di Kaspersky e di Symantec Labs. Gli esperti l'hanno descritto come una piattaforma altamente ingegnerizzata, modulare, in grado di funzionare in diversi scenari, anche air-gapped, ossia in rete sconnesse da internet.
Secondo quanto scoperto dai ricercatori - riporta Ofcs Report - Sauron utilizza un linguaggio di programmazione conosciuto come "Lua", di origine brasiliana. Il ricorso a Lua e l'elevata modularizzazione sono sintomo di un'alta scalabilità del codice che gli permette di adattarsi a contesti differenti e di riscrivere rapidamente i moduli. Lo scopo primaria di Sauron è quella di copiare e sottrarre dati in maniera nascosta. Preleva infatti in modo impercettibile informazioni e documenti degli utenti e li invia all'esterno tramite server di comando e controllo.
Sauron è stato individuato dopo aver osservato il traffico di rete anomalo presente in un'importante istituzione governativa che, per motivi di privacy, non è stata resa nota. Era registrato come Windows Lsa Password Filter in un domain controller di Windows. Il Password Filter è utilizzato per intercettare le password in chiaro degli utenti e trasmetterle all'esterno.
Sauron è in grado di accedere ai computer della rete attraverso la modifica degli script di aggiornamento dei software di sistema. Il downloader che viene installato nei computer si connette ad un IP interno o esterno al fine di scaricare ed eseguire un payload malevolo. Inoltre può operare in modalità air-gapped, ovvero in reti disconnesse da internet.
L'attività di Sauron è stata rilevata sono in alcune regioni specifiche del mondo e quindi siamo di fronte a un'Apt altamente targhettizzato. Le vittime degli attacchi sono state individuate in circa 30 regioni, specialmente in paesi che hanno l'italiano come seconda lingua. Tra le istituzioni prese di mira vi sono agenzie nazionali, istituti di ricerca, organizzazioni militari, nonché società telco e finanziarie.
Al momento, i ricercatori non sono stati in grado di attribuire la paternità del progetto Sauron. Si pensa tuttavia che si tratti di un software sviluppato da un governo per svolgere attività di spionaggio o per scopi economici. Il ricorso poi al linguaggio Lua, porta a ritenere che l'apt sia stato disegnato in un paese di origine latina e che poi sia stato ampliato fino a comprendere anche lingue diverse.
