Kaspersky Lab, cel mai mare producător privat de soluţii de securitate endpoint din lume a dat azi publicității un nou raport de cercetare care identifică o foarte discretă campanie de spionaj vizând ținte din domeniile diplomatic, guvernamental și științific din mai multe țări.
Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în țări din Europa de Est, statele din zona fostei URSS, precum și state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate și în alte zone, precum Europa de Vest și America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date și documente secrete de la organizațiile afectate, inclusiv informații de importanță geopolitică, date de acces în rețelele securizate sau clasificate şi date din dispozitive mobile și echipamente de rețea.
O echipă de experți a Kaspersky Lab a lansat o investigație în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internațional. Pe parcursul investigaței a fost descoperită și analizată o amplă rețea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operațiunea Octombrie Roșu, pe scurt „Rocra,” a avut o activitate susținută încă din anul 2007 și este în continuare activă în ianuarie 2013.
Principalele rezultate ale investigației
Rețeaua avansată de spionaj cibernetic Octombrie Roșu: Atacatorii au fost activi cel puțin din 2007 până în prezent și s-au concentrat pe agenții diplomatice și guvernamentale din diferite țări, precum și pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare și companii comerciale și din domeniul aerospațial. Atacatorii din rețeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de ”Rocra”, cu o arhitectură modulară proprie, constând în special în extensii malițioase, module de furt de informații și troieni.
Informația furată din rețelele infectate a fost deseori folosită pentru a obține acces la sisteme adiționale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate într-o listă specială și utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locații.
Pentru a controla rețeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite țări, în principal în Germania și Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă și control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informația furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile ”acid*”, în particular, par a se referi la software-ul clasificat ”Acid Cryptofiler”, folosit de mai multe entități din Uniunea Europeană și NATO.
Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip ”spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul și a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilități din Microsoft Word și Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alți dezvoltatori de malware și mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiștilor tibetani, precum și împotriva unor ținte din sectoarele energetic și militar din Asia. Singura modificare a fost adusă executabilului inserat în document: atacatorii l-au înlocuit cu cod propriu. Interesant de menționat este că executabilul modifică în 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaște caracterele chirilice pe respectivul sistem.
Victime și organizații vizate
Experții Kaspersky Lab au utilizat două metode de analiză a potențialelor victime. În primul rând au fost folosite informațiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice și pentru a asigura o protecție avansată sub formă de liste negre (blacklist) și reguli euristice. KSN a detectat exploit-ul folosit de Rocra încă de la începutul anului 2011, ceea ce a permis experților Kaspersky Lab să caute detecții similare care aveau legatură cu Rocra. În al doilea rând, echipa de investigatori a pus la punct un server de tip ”sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci când acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit două metode independente de corelare și confirmare a rezultatelor.
• Statisticile KSN: câteva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precădere din ambasade, organizații și rețele guvernamentale, consulate și institute de cercetare. Conform datelor KSN, majoritatea infecțiilor au fost identificate în primul rând în Europa de Est, dar au fost identificate şi în America de Nord şi în ţări din Europa de Vest, cum sunt Elveţia şi Luxemburg.
• Statisticile Sinkhole: Analiza sinkhole realizată de Kaspersky Lab a avut loc între 2 noiembrie 2012 – 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de ţări. Majoritatea adreselor IP infectate au fost identificate în Elveţia, urmată de Kazahstan şi Grecia.
Rocra: arhitectură și funcționalități unice
Atacatorii au creat o platformă de atac multifuncțională, care include mai multe extensii și fișiere malițioase dezvoltate pentru a se adapta rapid la configurații diferite și pentru a colecta informații din echipamentele infectate. Platforma Rocra este unică și nu a fost identificată de către Kaspersky Lab în niciuna dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:
• Modulul de “Resuscitare”: Un modul unic, care permite atacatorilor să ”resusciteze” mașinile infectate. Modulul este inserat ca un plug-in în Adobe Reader sau Microsoft Office și pune la dispoziția atacatorilor o cale sigură de a recăpăta acces la un sistem-țintă, chiar dacă principalele module malware sunt descoperite și înlăturate sau dacă sistemul este actualizat. Odată ce serverele C2 sunt operaționale din nou, atacatorii pot trimite un document (PDF sau Office) prin email și pot reactiva malware-ul.
• Module de spionaj criptografic: Principalul scop al acestor module este furtul de informație criptată. Fișierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi
Acid Cryptofiler, cunoscut ca fiind utilizat de organizații din NATO, Uniunea Europeană, Parlamentul European și Comisia Europeană cu începere din vara lui 2011, pentru protecția informațiilor secrete.
• Dispozitive mobile: Pe lângă atacarea computerelor tradiționale, malware-ul este capabil să fure informații din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia și Windows Mobile). Malware-ul este, de asemenea, capabil să fure informații de configurare de la echipamentele din rețea, cum ar fi routere și switch-uri și poate recupera fișiere șterse de pe dispozitivele USB.
Identificarea atacatorilor: Analizând datele de înregistrare a serverelor C2, precum și mai multe artifacte rămase în executabilele malware-ului, există dovezi tehnice temeinice că atacatorii sunt de origine dintr-o zonă rusofonă. În plus, executabilele folosite de atacatori au fost complet necunoscute până de curând și nu au fost indentificate de experții Kaspersky Lab în cursul analizelor niciunuia dintre precedentele atacuri de spionaj cibernetic.
Kaspersky Lab, în colaborare cu organizațiile internaționale, autoritățile și echipele CERT (Computer Emergency Response Teams), vor continua investigațiile asupra Rocra, punând la dispoziție expertiza tehnică și resursele pentru procedurile de remediere și reducere a riscurilor.
Rocra este un malware detectat, blocat şi remediat cu succes de către produsele Kaspersky Lab şi este clasificat ca Backdoor.Win32.Sputnik.