De nieuwe spionagegroep, Strider of ProjectSauron, die vandaag bekend is gemaakt blijkt ook offline computers te infecteren en heeft het vooral op de versleutelde communicatiesoftware van overheidsinstanties voorzien. Dat meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens Kaspersky Lab is de groep vergelijkbaar met de spionagegroepen die eerder voor de Equation-, Regin- en Duqu-malware verantwoordelijk waren. De groep was vanaf juni 2011 tot mei 2016 actief en had het voorzien op overheden, wetenschappelijke onderzoekscentra, het leger, telecomaanbieders en financiële partijen van verschillende landen. Kaspersky Lab spreekt van meer dan 30 geïnfecteerde organisaties in Rusland, Iran, Rwanda en mogelijk ook Italiaans-sprekende landen.

De spionnen hadden vooral interesse in de versleutelde communicatiesoftware die de aangevallen overheidsinstanties gebruikten. Zo werden encryptiesleutels, configuratiebestanden en ip-adressen van de communicatieservers gestolen.

Bij een aantal van de aangevallen organisaties waren ook computers en netwerken geïnfecteerd die niet met internet zijn verbonden. Om deze "air-gapped" machines te infecteren gebruikte de malware een speciale module die op een speciale manier usb-sticks formatteert zodat de omvang van de partitie op de usb-stick wordt verkleind. Zodoende blijft een bepaalde hoeveelheid verborgen ruimte beschikbaar. Deze ruimte wordt vervolgens gebruikt om een nieuwe versleutelde partitie te maken die niet door besturingssystemen zoals Windows wordt herkend. Zodra de offline computer door deze gemanipuleerde usb-stick is besmet wordt op deze verborgen partitie de interessante data opgeslagen.

Als de usb-stick daarna weer op een computer met internetverbinding wordt aangesloten zal de malware de verzamelde gegevens in de verborgen partitie naar de aanvallers terugsturen. Door deze methode weten de aanvallers veel datalekpreventieproducten te omzeilen, aangezien vertrouwde en toegestane usb-sticks worden gemanipuleerd.

Hoe de malware zich weet te verspreiden is nog altijd onbekend. Zo is het onbekend of er zero day-lekken zijn gebruikt, maar de kans daarop is wel aanwezig. Het formatteren van de usb-sticks en daar een verborgen partitie op aanbrengen geeft de aanvallers nog geen controle over de offline computer. "Er moet een ander onderdeel zijn zoals een zero day-exploit die in de hoofdpartitie van de usb-schijf wordt geplaatst", zegt Kaspersky Lab. In de nu geanalyseerde malware zijn dergelijke zero day-exploits nog niet aangetroffen.

Alles bij de bron; Security