O retea sofisticata de infractori informatici au creat si utilizat in ultimii cinci ani un malware cu care au atacat computere din institutii guvernamentale, diplomatice si stiintifice din tari situate mai ales in fosta URSS. Spre deosebire de virusii Flame si Gauss, operatiunea denumita Octombrie Rosu implica o interactiune fara precedent intre atacator si victima si este clar faptul ca infractorii si-au studiat indelung victimele si s-au documentat temeinic. Scopul operatiunii este furtul de informatii cu importanta geopolitica ce pot apoi fi vandute pe bani "grei" catre alte state.

Informatia pe scurt

- Campania se desfasoara de cinci ani, atacatorii fura documente secrete pe care apoi le vand cu sume mari altor state.

- Victimele au fost mai ales agentii diplomatice si guvernamentale din diferite tari, institute de cercetare, companii energetice, institutii din domeniul energiei nucleare si din domeniul aerospatial.

- Fata de "viermi informatici" puternici precum Flame sau Gauss, la Red October sunt mult mai putine operatiuni automatizate si mult mai putine calculatoare atacate, semn ca victimele au fost indelung studiate si tintele sunt foarte clare. In plus, exista se pare numerosi operatori umani care gestioneaza atacurile, gradul de automatizare este mult mai scazut decat in alte cazuri.

- Malware-ul creat a profitat si de vulnerabilitati de Word si Excel si poate fura informatii si de pe smartphone-uri, miza fiind acolo agenda telefonica.

- Rusia, Kazahstan,Elvetia, Azerbaijan si Belagia sunt tarile cu cele mai multe computere atacate.

- Dovezile arata ca infractorii sunt dintr-o zona rusofona, serverele de comanda si control sunt in Rusia si Germania.

Informatiile in detaliu:

Kaspersky Lab a dat luni publicitatii un nou raport de cercetare care identifica o foarte discreta campanie de spionaj vizand tinte din domeniile diplomatic, guvernamental si stiintific din mai multe tari. Activa de aproximativ cinci ani, campania pare sa se fi derulat cu precadere in tari din Europa de Est, statele din zona fostei URSS, precum si state din Asia Centrala. Cu toate acestea, victime ale campaniei au fost identificate si in alte zone, precum Europa de Vest si America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date si documente secrete de la organizatiile afectate, inclusiv informatii de importanta geopolitica, date de acces in retelele securizate sau clasificate si date din dispozitive mobile si echipamente de retea.

O echipa de experti a Kaspersky Lab a lansat o investigatie in octombrie 2012, ca urmare a unei serii de atacuri impotriva unor servicii diplomatice la nivel international. Pe parcursul investigatei a fost descoperita si analizata o ampla retea de spionaj cibernetic. Conform raportului de analiza al Kaspersky Lab, Operatiunea Octombrie Rosu, pe scurt "Rocra" a avut o activitate sustinuta inca din anul 2007 si este in continuare activa in ianuarie 2013.

Principalele rezultate ale investigatiei

Reteaua avansata de spionaj cibernetic Octombrie Rosu: Atacatorii au fost activi cel putin din 2007 pana in prezent si s-au concentrat pe agentii diplomatice si guvernamentale din diferite tari, precum si pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare si companii comerciale si din domeniul aerospatial. Atacatorii din reteaua Octombrie Rosu si-au dezvoltat propria platforma de malware, identificata sub numele de "Rocra", cu o arhitectura modulara proprie, constand in special in extensii malitioase, module de furt de informatii si troieni.

Informatia furata din retelele infectate a fost deseori folosita pentru a obtine acces la sisteme aditionale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate intr-o lista speciala si utilizate de cate ori atacatorii aveau nevoie sa ghiceasca parole de acces in alte locatii.

Pentru a controla reteaua de calculatoare infectate, atacatorii au creat peste 60 de domenii in diferite tari, in principal in Germania si Rusia. Analiza Kaspersky Lab asupra infrastructurii de comanda si control (C2) a Rocra a aratat ca diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.

Informatia furata din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile "acid*, in particular, par a se referi la software-ul clasificat "Acid Cryptofiler", folosit de mai multe entitati din Uniunea Europeana si NATO.

Infectarea victimelor

Pentru infectarea sistemelor atactorii au folosit mesaje email de tip "spear-phishing", care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul si a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilitati din Microsoft Word si Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alti dezvoltatori de malware si mai fusesera folosite in timpul atacurilor cibernetice impotriva activistilor tibetani, precum si impotriva unor tinte din sectoarele energetic si militar din Asia. Singura modificare a fost adusa executabilului inserat in document: atacatorii l-au inlocuit cu cod propriu. Interesant de mentionat este ca executabilul modifica in 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaste caracterele chirilice pe respectivul sistem.

Victime si organizatii vizate

Expertii Kaspersky Lab au utilizat doua metode de analiza a potentialelor victime. In primul rand au fost folosite informatiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice si pentru a asigura o protectie avansata sub forma de liste negre (blacklist) si reguli euristice. KSN a detectat exploit-ul folosit de Rocra inca de la inceputul anului 2011, ceea ce a permis expertilor Kaspersky Lab sa caute detectii similare care aveau legatura cu Rocra. In al doilea rand, echipa de investigatori a pus la punct un server de tip "sinkhole", cu rolul de a monitoriza activitatea computerelor infectate, atunci cand acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit doua metode independente de corelare si confirmare a rezultatelor.

- Statisticile KSN: cateva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precadere din ambasade, organizatii si retele guvernamentale, consulate si institute de cercetare. Conform datelor KSN, majoritatea infectiilor au fost identificate in primul rand in Europa de Est, dar au fost identificate si in America de Nord si in tari din Europa de Vest, cum sunt Elvetia si Luxemburg.

- Statisticile Sinkhole: Analiza sinkhole realizata de Kaspersky Lab a avut loc intre 2 noiembrie 2012 - 10 ianuarie 2013. In aceasta perioada s-au inregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de tari.Majoritatea adreselor IP infectate au fost identificate in Elvetia, urmata de Kazahstan si Grecia.

Rocra: arhitectura si functionalitati unice

Atacatorii au creat o platforma de atac multifunctionala, care include mai multe extensii si fisiere malitioase dezvoltate pentru a se adapta rapid la configuratii diferite si pentru a colecta informatii din echipamentele infectate. Platforma Rocra este unica si nu a fost identificata de catre Kaspersky Lab in niciuna dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:

- Modulul de "Resuscitare": Un modul unic, care permite atacatorilor sa "resusciteze" masinile infectate. Modulul este inserat ca un plug-in in Adobe Reader sau Microsoft Office si pune la dispozitia atacatorilor o cale sigura de a recapata acces la un sistem-tinta, chiar daca principalele module malware sunt descoperite si inlaturate sau daca sistemul este actualizat. Odata ce serverele C2 sunt operationale din nou, atacatorii pot trimite un document (PDF sau Office) prin email si pot reactiva malware-ul.

- Module de spionaj criptografic: Principalul scop al acestor module este furtul de informatie criptata. Fisierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi Acid Cryptofiler , cunoscut ca fiind utilizat de organizatii din NATO, Uniunea Europeana, Parlamentul European si Comisia Europeana cu incepere din vara lui 2011, pentru protectia informatiilor secrete.

- Dispozitive mobile: Pe langa atacarea computerelor traditionale, malware-ul este capabil sa fure informatii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia si Windows Mobile). Malware-ul este, de asemenea, capabil sa fure informatii de configurare de la echipamentele din retea, cum ar fi routere si switch-uri si poate recupera fisiere sterse de pe dispozitivele USB.

Identificarea atacatorilor: Analizand datele de inregistrare a serverelor C2, precum si mai multe artifacte ramase in executabilele malware-ului, exista dovezi tehnice temeinice ca atacatorii sunt dintr-o zona rusofona. In plus, executabilele folosite de atacatori au fost complet necunoscute pana de curand si nu au fost indentificate de expertii Kaspersky Lab in cursul analizelor niciunuia dintre precedentele atacuri de spionaj cibernetic.

Kaspersky Lab, in colaborare cu organizatiile internationale, autoritatile si echipele CERT (Computer Emergency Response Teams), vor continua investigatiile asupra Rocra.