Istražujući neobičan protok podataka u računalnom sustavu jednog klijenta, antivirusna kompanija Kaspersky Lab prošle je godine po prvi put detektirala iznimno napredan zlonamjerni software, za kojeg je utvrđeno kako je ostao neotkriven najmanje pet godina. Štoviše, zahvaljujući zajedničkim naporima Symanteca i Kaspersky Laba, ustanovljeno je kako je dotični software, nazvan ProjectSauron, vjerojatno stvorila grupa hakera poduprtih od strane zasada nepoznate države.

Navodi se kako je ProjectSauron, poznat i pod nazivom Remsec, toliko napredan da je gostovo izvjesno kako je za njegov nastanak odgovorna obavještajna služba neke države. Zasada je otkriveno kako je dotični inficirao više od trideset važnih računalnih sustava u Rusiji, Kini, Švedskoj i nekim drugim zemljama, gdje posebice valja izdvojiti zrakoplovnu kompaniju u Kini, neimenovano veleposlanstvo u Belgiji, kao i zasada nepoznatu kompaniju u Švedskoj.

Samo ime malwarea oslanja se na liniji koda dotičnog, gdje se spominje Sauron, glavni negativac u Gospodaru prstenova. Štoviše, ljubav hakera odgovornih za nastanak ProjectSaurona ogleda se i u nazivu njihove grupe. Naime, dotični se nazivaju grupa Strider, a što je očita aluzija na Aragornovo graničarsko ime.

I dok klasični malware ima neke značajke koje alarmiraju antivirusni program, ProjectSauron se iz petnih žila trudi ne isticati navedene značajke, a kako bi izbjegao detekciju. Tako dizajniran sustav izvrsno je sredstvo za infiltraciju u računalne mreže stranih vlada, vojnih postrojenja i istraživačkih centara, ali i servere kompanija, s ciljem dobivanja lozinki, krađe informacija te potpune kompromitacije sustava.

Kako bi sakrili postojanje virusa, njegovi autori dizajnirali su zasebne kodove za svaku pojedinu metu, čime su elegantno zaobišli gore spomenute jedinstvene značajke, a time i detekciju od strane antivirusnog softwarea. „Napadači očito poznaju kako mi kao istraživači uvijek tražimo uzorke. Uklonite uzorke i time ćete otežati otkrivanje procesa“, otkrio je izvor iz Kaspersky Laba.

Njihovi partneri iz Symanteca napomenuli su kako ProjectSauron ima cijeli niz alata za prikrivanje, uključujući ubacivanje svojih komponenti u izvršne datoteke. „Malware se umnogome oslanja mrežu, što znači kako prebiva samo u memoriji računala, bez pohranjivanja na disk. To ima za posljedicu još teže otkrivanje malwarea i upućuje na činjenicu kako se Strider ekipa sastoji od tehnički potkovanih napadača“, otkrio je istraživač Symanteca.

Iako iz Kasperskya navode kako je tijekom ove godine primijećeno smanjenje aktivnosti ProjectSaurona to ne znači da su njegovi tvorci odustali od njegove uporabe. Naime, s punom sigurnošću se može reći kako su tako sofisticiran proizvod uložena značajna financijska sredstva i to s ciljem dugotrajnog i ozbiljnog korištenja.