Spionaj cibernetic internaţional. Kaspersky Lab a identificat operaţiunea “Octombrie Roşu”
Kaspersky Lab a dat azi publicității un nou raport de cercetare care identifică o foarte discretă campanie de spionaj vizând ținte din domeniile diplomatic, guvernamental și științific din mai multe țări.
Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în țări din Europa de Est, statele din zona fostei URSS, precum și state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate și în alte zone, precum Europa de Vest și America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date și documente secrete de la organizațiile afectate, inclusiv informații de importanță geopolitică, date de acces în rețelele securizate sau clasificate şi date din dispozitive mobile și echipamente de rețea.
O echipă de experți a Kaspersky Lab a lansat o investigație în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internațional. Pe parcursul investigaței a fost descoperită și analizată o amplă rețea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operațiunea Octombrie Roșu, pe scurt „Rocra,” a avut o activitate susținută încă din anul 2007 și este în continuare activă în ianuarie 2013.
Principalele rezultate ale investigației
Rețeaua avansată de spionaj cibernetic Octombrie Roșu: Atacatorii au fost activi cel puțin din 2007 până în prezent și s-au concentrat pe agenții diplomatice și guvernamentale din diferite țări, precum și pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare și companii comerciale și din domeniul aerospațial. Atacatorii din rețeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de “Rocra”, cu o arhitectură modulară proprie, constând în special în extensii malițioase, module de furt de informații și troieni.
Informația furată din rețelele infectate a fost deseori folosită pentru a obține acces la sisteme adiționale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate într-o listă specială și utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locații.
Pentru a controla rețeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite țări, în principal în Germania și Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă și control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informația furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile “acid*”, în particular, par a se referi la software-ul clasificat “Acid Cryptofiler”, folosit de mai multe entități din Uniunea Europeană și NATO.
Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip “spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul și a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilități din Microsoft Word și Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alți dezvoltatori de malware și mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiștilor tibetani, precum și împotriva unor ținte din sectoarele energetic și militar din Asia. Singura modificare a fost adusă executabilului inserat în document: atacatorii l-au înlocuit cu cod propriu. Interesant de menționat este că executabilul modifică în 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaște caracterele chirilice pe respectivul sistem.
Victime și organizații vizate
Experții Kaspersky Lab au utilizat două metode de analiză a potențialelor victime. În primul rând au fost folosite informațiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice și pentru a asigura o protecție avansată sub formă de liste negre (blacklist) și reguli euristice. KSN a detectat exploit-ul folosit de Rocra încă de la începutul anului 2011, ceea ce a permis experților Kaspersky Lab să caute detecții similare care aveau legatură cu Rocra. În al doilea rând, echipa de investigatori a pus la punct un server de tip “sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci când acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit două metode independente de corelare și confirmare a rezultatelor.
