A Kaspersky Lab ma nyilvánosságra hozta legfrissebb , amelyben egy olyan új kiberkémkedési akciót azonosított, amely diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, legalább öt éve. A támadássorozat elsődlegesen a kelet-európai országokat, az egykori Szovjetunió tagállamait és Közép-Ázsiát célozza, de mindenhol előfordulnak incidensek, beleértve Nyugat-Európát és Észak-Amerikát is. A támadók célja, hogy kritikus dokumentumokat lopjanak a szervezetektől, köztük geopolitikai információkat, számítógépes rendszerek hozzáféréséhez szükséges hitelesítéseket és személyes adatokat mobil eszközökről és hálózati berendezésekről.
A Kaspersky Lab szakértői 2012 októberében vizsgálatot kezdeményeztek a diplomáciai szervezetek számítógépes rendszereit célzó támadássorozat ellen, és egy nagyszabású kiberkémkedési hálózatra derítettek fényt. A Kaspersky Lab jelentése szerint a Vörös Október művelet, aminek röviden a “Rocra” nevet adták, jelenleg is aktív, kezdete pedig egészen 2007-ig nyúlik vissza.
A Vörös Október bűnözői saját kártevőt fejlesztettek ki; a kártékony programnak saját, egyedi moduláris felépítése van rosszindulatú bővítményekkel, adatlopásra szakosított modulokkal és hátsóajtó (backdoor) trójaikkal, amik jogosulatlan hozzáférésük révén további kártevőket telepítenek és lopnak el személyes adatokat.
A támadók gyakran használják a fertőzött hálózatokról kinyert információkat további rendszerek eléréséhez. Például a lopott hitelesítések támpontot adhatnak a kiegészítő rendszerek hozzáféréséhez szükséges jelszavakhoz vagy kifejezésekhez.
A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 doménnevet és számos szerverhosting-rendszert hoztak létre sok országban, legtöbbet közülük Német- és Oroszországban. A Rocra C&C (Command & Control) infrastruktúrájának elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxy-ként működött, hogy elrejtse az „anyahajót”, vagyis a vezérlő szerver helyét.
A fertőzött rendszerek lopott információit tartalmazó dokumentumok a következő kiterjesztéseket tartalmazzák: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Az „acid” kiterjesztés az „Acid Cryptofiler” szoftverre utalhat, amelyet számos intézmény használ az Európai Uniótól a NATO-ig.
A rendszer megfertőzésére a bűnözők célzott „spear-phising”, vagyis lándzsahalász emailt küldtek az áldozatnak, személyre szabott trójai „dropperrel”, vagyis önállóan szaporodni tudó vírussal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony email a Microsoft Office és Microsoft Excel biztonsági réseit kihasználó exploitokat tartalmazott. Az adathalász-üzenetben lévő exploitokat más támadók hozták létre és ázsiai katonai és energetikai célpontok számítógépes támadásaihoz alkalmazták őket. Az egyetlen dolog, amiben a Rocra által használt dokumentum eltér, az a beágyazható futtatható fájl, amit a támadók saját kódjukkal helyettesítettek. Figyelemre méltó, hogy az egyik parancs a trójai dropperben megváltoztatta a parancssor alapértelmezett rendszer kódlapját 1251-re, ami a cirill betűkészlethez szükséges.
A Kaspersky Lab szakértői két módszert alkalmaztak a célpontok elemzésére. Egyrészről a Kaspersky Security Network (KSN) felhő alapú biztonsági szolgáltatás felderítési statisztikáit vették alapul, amelyet a Kaspersky Lab termékei használnak telemetria jelentésére, valamint fejlett védelem biztosítására feketelisták és heurisztikus szabályok segítségével. A KSN már 2011-ben kimutatta a rosszindulatú programban használt exploit-kódot, amely elindította a Rocrához kapcsolódó további megfigyelési folyamatot. A kutatók második módszere a „sinkhole” rendszer létrehozása volt, amellyel nyomon tudták követni azokat a fertőzött rendszereket, amelyek a Rocra C&C szervereihez kapcsolódtak. A két módszerrel kapott adatok egymástól függetlenül megerősítették az eredményeket.
- KSN statisztika: A KSN több száz egyedi fertőzött rendszert fedezett fel, a legtöbb nagykövetségeket, kormányzati hálózatokat és szervezeteket, tudományos kutatóintézeteket és konzulátusokat érintett. A KSN által gyűjtött adatok szerint a fertőzött rendszerek többsége Kelet-Európából származott, bár azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is.
- Sinkhole statisztika: A Kaspersky Lab sinkhole elemzése 2012. november 2-től 2013. január 10-ig tartott. Ez idő alatt 250 fertőzött IP-címtől származó több mint 550 ezer kapcsolatot jegyeztek fel 39 országban. A legtöbb fertőzött IP-kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.
A támadók által létrehozott felület számos bővítményt és rosszindulatú fájlt tartalmaz, hogy könnyen alkalmazkodjék a különféle rendszer-konfigurációkhoz és szellemi értéket gyűjtsenek a fertőzött gépekről. Ez a platform csak a Rocrára jellemző, a Kaspersky Lab nem tapasztalt hasonlót az eddigi kiberkémkedési kampányoknál. Legfontosabb jellemzői:
- „Feltámasztó” modul: Ez az egyedi modul lehetővé teszi a támadóknak, hogy feltámasszák a fertőzött gépeket. A modul plug-inként van beágyazva Adobe Reader és Microsoft Office telepítésekbe, és üzembiztos módot biztosít a bűnözőknek, hogy újra elérjék a célzott rendszert abban az esetben, ha a fő malware testet felfedezik és eltávolítják, vagy ha kijavítják a rendszer sérülékenységeit. Miután a C&C -k újra működnek, a támadók speciális dokumentumfájlt (PDF vagy office) küldenek az áldozatok gépére emailen keresztül, amely újra aktiválja a kártevőt.
- Fejlett kémmodulok: A kémmmodulok fő célja az információlopás. Ez magában foglalja különböző titkosítási rendszerek fájljait, mint például a Acid Cryptofiler, amelyet olyan szervezetek használnak, mint a NATO, az Európai Unió, az Európai Parlament és Európai Bizottság.
- Mobil eszközök: A hagyományos munkaállomások támadásán kívül a rosszindulatú program képes adatot lopni a mobil eszközökről is, például okostelefonokról (iPhone, Nokia és Windows Mobile). Ezenfelül a kártevő konfigurációs adatokat is gyűjt vállalati hálózati berendezésektől, mint például routerek, switchek, valamint cserélhető merevlemezekről származó törölt fájlok.
A támadókról: A C&C szerverek regisztrációs adatai és a malware futtatható fájljaiban talált maradványok alapján erős technikai bizonyíték utal a támadók orosz eredetére. Emellett a bűnözők által használt futtatható fájlok ismeretlenek voltak egészen mostanáig.
A Kaspersky Lab szakértőinek teljes jelentése a Rocra kártevőről a Securelist oldalán olvasható.
A Vörös Október kiberkémkedési akció által érintett országok , tessék kattintani!