De nieuwe spionagegroep die vandaag bekend is gemaakt blijkt ook offline computers te infecteren en heeft het vooral op de versleutelde communicatiesoftware van overheidsinstanties voorzien. Dat meldt het Russische anti-virusbedrijf Kaspersky Lab. De groep wordt Strider of ProjectSauron genoemd.

Aanleiding voor de naam is het woord "Sauron" dat in de code van de door de groep gebruikte malware werd aangetroffen. Volgens Kaspersky Lab is de groep vergelijkbaar met de spionagegroepen die eerder voor de Equation-, Regin- en Duqu-malware verantwoordelijk waren. De groep was vanaf juni 2011 tot mei 2016 actief en had het voorzien op overheden, wetenschappelijke onderzoekscentra, het leger, telecomaanbieders en financiële partijen van verschillende landen. Eerder vandaag liet Symantec weten dat het infecties bij 36 doelen in China, België, Rusland en Zweden had ontdekt. Kaspersky Lab spreekt van meer dan 30 geïnfecteerde organisaties in Rusland, Iran, Rwanda en mogelijk ook Italiaans-sprekende landen.

De spionnen hadden vooral interesse in de versleutelde communicatiesoftware die de aangevallen overheidsinstanties gebruikten. Zo werden encryptiesleutels, configuratiebestanden en ip-adressen van de communicatieservers gestolen. Bij een aantal van de aangevallen organisaties waren ook computers en netwerken geïnfecteerd die niet met internet zijn verbonden. Om deze "air-gapped" machines te infecteren gebruikte de malware een speciale module.

Deze module formatteert usb-sticks, die op een online computer worden aangesloten, op een speciale manier, zodat de omvang van de partitie op de usb-stick wordt verkleind. Zodoende blijft een bepaalde hoeveelheid verborgen ruimte beschikbaar. Volgens Kaspersky Lab gaat het om enkele honderden megabytes. Deze ruimte wordt gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend. Zodra de offline computer door deze gemanipuleerde usb-stick is besmet wordt op deze verborgen partitie de interessante data opgeslagen.

Zodra de usb-stick weer op een computer met internetverbinding wordt aangesloten zal de malware de verzamelde gegevens in de verborgen partitie naar de aanvallers terugsturen. Door deze methode weten de aanvallers veel datalekpreventieproducten te omzeilen, aangezien vertrouwde en toegestane usb-sticks worden gemanipuleerd.

Ontdekking

Kaspersky Lab ontdekte de malware toen het vorig jaar september verdacht netwerkverkeer in het netwerk van een klant ontdekte. Dat leidde tot de ontdekking van een vreemde uitvoerbare programmabibliotheek in het geheugen van de domaincontrollerserver. Deze bibliotheek was als een Windows-wachtwoordfilter geregistreerd en had toegang tot gevoelige gegevens zoals beheerderswachtwoorden. Verder onderzoek liet zien dat het om een geheel nieuwe spionagegroep ging.

Hoe de malware zich weet te verspreiden is nog altijd onbekend. Zo is het onbekend of er zero day-lekken zijn gebruikt, maar de kans daarop is wel aanwezig. Het formatteren van de usb-sticks en daar een verborgen partitie op aanbrengen geeft de aanvallers nog geen controle over de offline computer. "Er moet een ander onderdeel zijn zoals een zero day-exploit die in de hoofdpartitie van de usb-schijf wordt geplaatst", zegt Kaspersky Lab. In de nu geanalyseerde malware zijn dergelijke zero day-exploits nog niet aangetroffen.