Rdeči oktober - topov Aurora ne streljajo več!

Kaspersky Lab je danes izdal novo poročilo o novem kibernetskem vohunskem napadu, ki že najmanj pet let napada diplomatske, vladne in znanstvenoraziskovalne organizacije po vsem svetu. Serija napadov je namenjena predvsem vzhodnoevropskim državam, članicam nekdanje Sovjetske zveze in Srednje Azije, vendar se incidenti pojavljajo povsod, tudi v zahodni Evropi in Severni Ameriki.

Napadalci želijo od organizacij ukrasti kritične dokumente, vključno z geopolitičnimi informacijami, avtentikacijami, potrebnimi za dostop do računalniških sistemov, in osebnimi podatki iz mobilnih naprav in omrežne opreme.

Oktobra 2012 je laboratorij Kaspersky začel strokovno preiskavo o vrsti napadov na računalniške sisteme mednarodnih diplomatskih organizacij, ki so odkrili obsežno mrežo kibernetskega vohunjenja. Kaspersky Lab poroča, da je operacija Rdečega oktobra, skrajšano "Rocra", še vedno aktivna in se bo začela leta 2007.

Glavni rezultati raziskav:

Rdeči oktober je napredno omrežje kibernetskega vohunjenja: napadalci so aktivni vsaj od leta 2007 in se osredotočajo predvsem na diplomatske in vladne agencije po vsem svetu, pa tudi na raziskovalne inštitute, energetske in jedrske skupine, trgovske in letalske organizacije. Kriminalci v Rdečem oktobru so razvili lastnega škodljivca, ki ga je laboratorij Kaspersky identificiral kot "Rocra". Ta zlonamerna programska oprema ima svojo edinstveno modularno strukturo z zlonamernimi razširitvami, module, specializirane za krajo podatkov, in tako imenovane "backdoor" trojance, ki omogočajo nepooblaščen dostop do sistema in tako omogočajo namestitev dodatne zlonamerne programske opreme in krajo osebnih podatkov.

Napadalci pogosto uporabljajo informacije, pridobljene iz okuženih omrežij, za dostop do dodatnih sistemov. Ukradene pristnosti lahko na primer navedejo gesla ali besedne zveze, potrebne za dostop do dodatnih sistemov.

Za nadzor omrežja okuženih računalnikov so napadalci postavili več kot 60 imen domen in številne strežniške sisteme za gostovanje v različnih državah, večinoma v Nemčiji in Rusiji. Analiza Rocrajeve infrastrukture C&C (Command & Control) je pokazala, da je veriga strežnikov dejansko delovala kot posrednik za skrivanje "matične ladje", to je lokacije nadzornega strežnika.

Dokumenti, ki vsebujejo ukradene podatke iz okuženih sistemov, vključujejo naslednje razširitve: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidssa. Razširitev "kislina" se lahko nanaša na programsko opremo "Acid Cryptofiler", ki jo uporabljajo številne institucije od Evropske unije do Nata.

Žrtve

Da bi okužili sistem, so kriminalci žrtvi pošiljali ciljna e-poštna sporočila z "spear-phishingom" z osebno trojansko "kapalko", virusom, ki bi se lahko razmnoževal sam. Za namestitev zlonamerne programske opreme in okužbo vašega sistema je zlonamerno e -poštno sporočilo vsebovalo izkoriščanja, ki so izkoriščala ranljivosti v Microsoft Officeu in Microsoft Excelu. Podvige v sporočilu o lažnem predstavljanju so ustvarili drugi napadalci in jih uporabili med različnimi kibernetskimi napadi, vključno s tibetanskimi aktivisti ter vojaškimi in energetskimi cilji v Aziji. Edino, zaradi česar je dokument, ki ga uporablja Rocra, drugačen, je vdelana izvedljiva datoteka, ki so jo napadalci zamenjali s svojo kodo. Omeniti velja, da je eden od ukazov v trojanskem kapalniku spremenil privzeto sistemsko kodno stran ukazne vrstice v 1251, kar je potrebno za cirilico.

Cilji

Strokovnjaki laboratorija Kaspersky so za analizo ciljev uporabili dve metodi. Po eni strani temeljijo na statistiki odkrivanja varnostnih storitev v oblaku, ki temelji na Kaspersky Security Network (KSN), ki jih izdelki podjetja Kaspersky Lab uporabljajo za poročanje o telemetriji in zagotavljajo napredno zaščito z uporabo črnih seznamov in hevrističnih pravil. Že leta 2011 je KSN odkril kodo izkoriščanja, ki se uporablja v zlonamerni programski opremi, kar je sprožilo dodaten postopek spremljanja, povezan z Rocra. Druga metoda raziskovalcev je bila ustvariti tako imenovani sistem "vrtače", ki bi ga lahko uporabili za sledenje okuženega sistema, ki je bil povezan z Rocrajevimi strežniki C&C. Podatki, pridobljeni z dvema različnima metodama, so neodvisno potrdili rezultate.

• Statistika KSN: KSN je odkril na stotine edinstvenih okuženih sistemov, od katerih večina vključuje veleposlaništva, vladna omrežja in organizacije, znanstvenoraziskovalne inštitute in konzulate. Po podatkih, ki jih je zbral KSN, večina okuženih sistemov izvira iz vzhodne Evrope, incidente pa so odkrili tudi v Severni Ameriki in zahodnoevropskih državah, Švici in Luksemburgu.
• Sinkhole statistics: Analiza vrtače v laboratoriju Kaspersky je trajala od 2012. novembra 2 do 2013. januarja 10. V tem času je bilo v 250 državah zabeleženih več kot 55 povezav z 0000 okuženih naslovov IP. Največ okuženih povezav IP je prišlo iz Švice, Kazahstana in Grčije.

Zlonamerna programska oprema Rocra: edinstvena struktura in funkcionalnost

Napadalci so ustvarili večnamensko platformo, ki vključuje številne razširitve in zlonamerne datoteke za enostavno prilagajanje različnim konfiguracijam sistema in pridobivanje intelektualne vrednosti na okuženih računalnikih. Ta platforma je edinstvena za Rocra, Kaspersky Lab v prejšnjih kampanjah kibernetskega vohunjenja ni videl ničesar podobnega. Njegove glavne značilnosti so:

• Modul »Resurrect«: Ta edinstven modul omogoča napadalcem, da oživijo okužene stroje. Modul je vgrajen kot vtičnik v namestitve programa Adobe Reader in Microsoft Office in kriminalcem zagotavlja varen način, da ponovno pridobijo dostop do ciljnega sistema, če odkrijejo in odstranijo glavnino zlonamerne programske opreme ali ko pride do ranljivosti v sistemu. so določeni. Ko C & C ponovno delujejo, napadalci pošljejo po elektronski pošti na računalnik žrtev posebno datoteko dokumentov (PDF ali Office), ki ponovno aktivira zlonamerno programsko opremo.
• Napredni vohunski moduli: Glavni namen vohunskih modulov je ukrasti informacije. To vključuje datoteke iz različnih sistemov za šifriranje, kot je Acid Cryptofiler, ki ga uporabljajo organizacije, kot so Nato, Evropska unija, Evropski parlament in Evropska komisija.
• Mobilne naprave: Zlonamerna programska oprema lahko poleg napada na tradicionalne delovne postaje ukrade tudi podatke iz mobilnih naprav, kot so pametni telefoni (iPhone, Nokia in Windows Mobile). Poleg tega zlonamerna programska oprema zbira konfiguracijske podatke iz izbrisanih datotek iz omrežnih naprav podjetja, kot so usmerjevalniki, stikala in odstranljivi trdi diski.

O napadalcih: Na podlagi registracijskih podatkov strežnikov C&C in številnih ostankov v izvedljivih datotekah zlonamerne programske opreme močni tehnični dokazi kažejo na ruski izvor napadalcev. Poleg tega izvršljive datoteke, ki so jih uporabljali kriminalci, doslej niso bile znane, strokovnjaki podjetja Kaspersky Lab pa jih v svojih prejšnjih analizah kibernetskega vohunjenja niso identificirali.

S svojim tehničnim znanjem in sredstvi bo laboratorij Kaspersky še naprej preiskoval Rocra v tesnem sodelovanju z mednarodnimi organizacijami, organi pregona in nacionalnimi centri za varnost omrežij.

Kaspersky Lab se zahvaljuje ameriškemu CERT-u, romunskemu CERT-u in beloruskemu CERT-u za njihovo pomoč pri preiskavi.

Izdelki podjetja Kaspersky Lab, uspešno razvrščeni kot Blockdoor.Win32.Sputnik, so bili uspešno zaznani, blokirani in obnovljeni.