Cloud Atlas, noua campania de spionaj din Rusia
Cloud Atlas reprezintă o nouă campanie de spionaj a hackerilor ruși, care ar fi folosit codul sursă al campaniei Red October.
În cazul Red October s-a descoperit că hackerii culegeau informații de la diverse instituții și diplomați din întreaga lume, predominant din Rusia și Kazahstan. Numele vine de la luna octombrie a anului 2012, când cei de la Kaspersky au descoperit, pentru prima dată, atacul. În ianuarie 2013, când informațiile au fost date publicului, spionii cibernetici și-au încetat operațiunile, scrie Playtech.ro .
Experții Kaspersky Labs sunt cei care au descoperit și noua campanie Cloud Atlas, în luna august a acestui an. Cu toate că analiza uneltelor folosite și a datelor furate este abia la început, experții Kaspersky au remarcat imediat o serie de tactici mai puțin obișnuite pentru atacurile de tip APT (n.red. – Advanced Persistent Threat).
”Cum se întâmplă de obicei cu aceste operațiuni mari, având în vedere investițiile masive și numărul resurselor implicate, ele nu dispar pentru totdeauna. În mod normal, grupul dispare de pe radar timp de câteva luni, regândește uneltele și malware-ul folosite și apoi reiau operațiunile”, se arată pe blogul SecureList.
În campania Cloud Atlas, la fel ca și în Red October, computerele targetate se infectau prin fișiere Microsoft Office. Acestea aveau nume precum ”FT – Ukraine Russia’s new art of war.doc”, ”Катастрофа малайзийского лайнера.doc”, ”Organigrama Gobierno Rusia.doc” sau ”Diplomatic Car for Sale.doc”. Această ultimă denumire de fișier i-a ajutat pe experți să facă o legătură mai puternică cu Red October, dar și bucăți din codul sursă al fișierele malițioase.
Partea cea mai interesantă la Cloud Atlas ține de cloud. Mai exact, de cum s-au folosit hackerii de ”nor” pentru a transmite fișierele furate din computerele infectate. Fiecare malware în parte comunica cu un cont diferit de pe site-ul Cloud.me, un serviciu legitim, care nu a avut nicio implicare în această campanie de spionaj.
”Nu crede că CloudMe are vreo legătură cu grupul Cloud Atlas – atacatorii pur și simplu au creat conturi gratuite pe site-ul acestui provider de servicii și le-au abuzat, folosindu-le ca centru de comandă și control”, au explicat reprezentanții Kaspersky.
“Deocamdată nu avem imaginea completă a Cloud Atlas și nu știm exact ce căutau atacatorii. Astăzi am văzut un mesaj de la CloudMe. Noi am identificat 25 de conturi folosite de hackeri, dar cei de la CloudMe spun ca au descoperit aproximativ 10.000 de astfel de conturi”, a declarat Costin Raiu, liderul echipei Global Research & Analysis Team Kaspersky.
Totuși, scopul campaniei este, în mare, puterea politică și avantajele geostrategice care le oferă accesul la documente confidențiale. ”Credem că Red October este Cloud Atlas așa că suntem de părere că s-au furat documente diplomatice”, a mai spus el.
Totuși, hackerii nu au ales calea ușoară și au preferat să construiască totul de la zero. Pentru a induce în eroare experții în securitate, spune Raiu, aceștia au introdus în cod indicii în indiană, arabă și chiar și sintagma ”God Save The Queen”, însă niciun cuvânt în limba rusă.
Tocmai asta îi dă de gol, consideră expertul GREAT: faptul că s-a evitat atât de mult folosirea cuvintelor în limba rusă și s-au aruncat atât de multe alte cuvinte din limbi diferite.