Červený október - z kanónov Aurora sa už nestrieľa!

Spoločnosť Kaspersky Lab dnes vydala novú správu identifikujúcu nový kyberšpionážny útok, ktorý útočí na diplomatické, vládne a vedeckovýskumné organizácie na celom svete najmenej päť rokov. Séria útokov je zameraná predovšetkým na východoeurópske krajiny, členské štáty bývalého Sovietskeho zväzu a Strednú Áziu, incidenty sa však vyskytujú všade, vrátane západnej Európy a Severnej Ameriky.

Útočníci majú za cieľ ukradnúť organizáciám kritické dokumenty vrátane geopolitických informácií, autentifikácie potrebnej na prístup k počítačovým systémom a osobných údajov z mobilných zariadení a sieťových zariadení.

V októbri 2012 začali experti Kaspersky Lab vyšetrovanie série útokov zameraných na počítačové systémy medzinárodných diplomatických organizácií, počas ktorých odhalili rozsiahlu kyberšpionážnu sieť. Podľa správy Kaspersky Lab je operácia Červený október, ktorá dostala skrátený názov „Rocra“, stále aktívna a jej začiatok sa datuje do roku 2007.

Hlavné výsledky výskumu:

Červený október je pokročilá kyberšpionážna sieť: Útočníci sú aktívni minimálne od roku 2007 a primárne sa zameriavajú na diplomatické a vládne agentúry po celom svete, ako aj výskumné ústavy, energetické a jadrové skupiny a komerčné a letecké organizácie. Zločinci Red October vyvinuli svoj vlastný malvér, ktorý spoločnosť Kaspersky Lab identifikovala ako „Rocra“. Tento škodlivý program má vlastnú, unikátnu modulárnu štruktúru so škodlivými rozšíreniami, modulmi špecializovanými na krádeže dát a takzvanými „backdoor“ trójskymi koňmi, ktoré poskytujú neoprávnený prístup do systému a umožňujú tak inštaláciu ďalšieho malvéru a krádeže osobných údajov.

Útočníci často používajú informácie získané z infikovaných sietí na získanie prístupu k ďalším systémom. Ukradnuté autentifikácie môžu napríklad poskytnúť vodítka k heslám alebo frázam potrebným na prístup k ďalším systémom.

Na kontrolu siete infikovaných počítačov útočníci vytvorili viac ako 60 doménových mien a niekoľko serverových hostingových systémov v rôznych krajinách, väčšinu z nich v Nemecku a Rusku. Analýza infraštruktúry C&C (Command & Control) spoločnosti Rocra ukázala, že reťazec serverov v skutočnosti fungoval ako proxy na skrytie umiestnenia „materskej lode“, t. j. riadiaceho servera.

Dokumenty obsahujúce ukradnuté informácie z infikovaných systémov majú nasledujúce prípony: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, kľúč, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, kyselinyca, aciddsk, acidpvr, acidppr, acidsa. Prípona „kyselina“ môže odkazovať na softvér „Acid Cryptofiler“, ktorý používajú mnohé inštitúcie od Európskej únie po NATO.

Obete

Aby infikovali systém, zločinci posielali obeti cielené e-maily typu „spear-phising“ s personalizovaným trójskym „kvapkadlom“, vírusom, ktorý sa dokáže reprodukovať sám. Na nainštalovanie škodlivého softvéru a infikovanie vášho systému obsahoval škodlivý e -mail zneužitia, ktoré zneužívali chyby zabezpečenia v balíkoch Microsoft Office a Microsoft Excel. Využitia vo phishingovej správe vytvorili iní útočníci a použili ich počas rôznych kybernetických útokov vrátane tibetských aktivistov a vojenských a energetických cieľov v Ázii. Jediným rozdielom v dokumente, ktorý používa Rocra, je vložiteľný spustiteľný súbor, ktorý útočníci nahradili vlastným kódom. Je pozoruhodné, že jeden z príkazov v trójskom kvapkadle zmenil predvolenú kódovú stránku systému príkazového riadka na 1251, ktorá je potrebná pre cyrilské písmo.

Ciele

Experti spoločnosti Kaspersky Lab použili na analýzu cieľov dve metódy. Na jednej strane sú založené na štatistikách zisťovania cloudovej bezpečnostnej služby Kaspersky Security Network (KSN), ktorú produkty spoločnosti Kaspersky Lab používajú na hlásenie telemetrie a poskytujú pokročilú ochranu pomocou čiernych zoznamov a heuristických pravidiel. Už v roku 2011 zistila KSN exploitačný kód použitý v škodlivom softvéri, ktorý spustil ďalší monitorovací proces súvisiaci s Rocrou. Druhou metódou vedcov bolo vytvoriť takzvaný „závrtný“ systém, ktorý by mohol sledovať infikovaný systém, ktorý bol pripojený k serverom C&C spoločnosti Rocra. Údaje získané týmito dvoma rôznymi metódami nezávisle potvrdili výsledky.

• Štatistiky KSN: KSN objavila stovky unikátnych infikovaných systémov, z ktorých väčšina zahŕňala veľvyslanectvá, vládne siete a organizácie, vedecko -výskumné ústavy a konzuláty. Podľa údajov, ktoré zhromaždila KSN, väčšina infikovaných systémov pochádza z východnej Európy, ale incidenty boli identifikované aj v Severnej Amerike a západoeurópskych krajinách, Švajčiarsku a Luxembursku.
• Štatistiky závrtov: Analýza závrtov spoločnosti Kaspersky Lab trvala od 2012. novembra 2 do 2013. januára 10. Za tento čas bolo zaznamenaných viac ako 250 55 pripojení z 0000 infikovaných adries IP v 39 krajinách. Väčšina infikovaných IP pripojení pochádza zo Švajčiarska, Kazachstanu a Grécka.

Malware Rocra: jedinečná štruktúra a funkčnosť

Útočníci vytvorili multifunkčnú platformu, ktorá obsahuje množstvo rozšírení a škodlivých súborov, ktoré sa dajú ľahko prispôsobiť rôznym konfiguráciám systému a získavať intelektuálnu hodnotu z infikovaných počítačov. Táto platforma je jedinečná pre Rocra, spoločnosť Kaspersky Lab nevidela nič podobné v predchádzajúcich kampaniach v oblasti počítačovej špionáže. Jeho hlavné vlastnosti sú:

• Modul „Resurrection“: Tento jedinečný modul umožňuje útočníkom oživiť infikované počítače. Modul je zabudovaný ako zásuvný modul v inštaláciách Adobe Reader a Microsoft Office a poskytuje zločincom bezpečný spôsob, ako znovu získať prístup k cieľovému systému, ak je odhalené a odstránené hlavné telo škodlivého softvéru alebo ak sa opravia slabé miesta systému. Keď C&C opäť fungujú, útočníci pošlú špeciálny dokumentový súbor (PDF alebo Office) do počítača obete prostredníctvom e-mailu, čím sa malvér znova aktivuje.
• Pokročilé špionážne moduly: Hlavným účelom špionážnych modulov je ukradnúť informácie. Patria sem súbory z rôznych šifrovacích systémov, ako napríklad Acid Cryptofiler, ktorý používajú organizácie ako NATO, Európska únia, Európsky parlament a Európska komisia.
• Mobilné zariadenia: Okrem útoku na tradičné pracovné stanice môže malware tiež kradnúť údaje z mobilných zariadení, ako sú smartfóny (iPhone, Nokia a Windows Mobile). Malvér navyše zbiera konfiguračné údaje z odstránených súborov z podnikových sieťových zariadení, ako sú smerovače, prepínače a vymeniteľné pevné disky.

O útočníkoch: Na základe registračných údajov serverov C&C a množstva zvyškov nachádzajúcich sa v spustiteľných súboroch škodlivého softvéru silné technické dôkazy poukazujú na ruský pôvod útočníkov. Navyše, spustiteľné súbory používané zločincami boli doteraz neznáme a experti spoločnosti Kaspersky Lab ich vo svojich predchádzajúcich analýzach počítačovej špionáže neidentifikovali.

Vďaka svojim technickým znalostiam a zdrojom bude Kaspersky Lab pokračovať v skúmaní Rocry v úzkej spolupráci s medzinárodnými organizáciami, orgánmi činnými v trestnom konaní a národnými centrami zabezpečenia siete.

Spoločnosť Kaspersky Lab by chcela poďakovať US-CERT, rumunským CERT a bieloruským CERT za pomoc pri vyšetrovaní.

Produkty spoločnosti Kaspersky Lab, úspešne klasifikované ako Blockdoor.Win32.Sputnik, boli úspešne zistené, zablokované a obnovené.