Czerwony Październik – armaty Aurora nie są już wystrzeliwane!

Kaspersky Lab opublikował dziś nowy raport, w którym zidentyfikowano nowy atak cyberszpiegowski, który od co najmniej pięciu lat atakuje organizacje dyplomatyczne, rządowe i naukowe na całym świecie. Seria ataków jest wymierzona przede wszystkim w kraje Europy Wschodniej, członków byłego Związku Radzieckiego i Azji Środkowej, ale incydenty zdarzają się wszędzie, w tym w Europie Zachodniej i Ameryce Północnej.

Celem atakujących jest kradzież krytycznych dokumentów z organizacji, w tym informacji geopolitycznych, uwierzytelnień wymaganych do uzyskania dostępu do systemów komputerowych oraz danych osobowych z urządzeń mobilnych i sprzętu sieciowego.

W październiku 2012 r. Kaspersky Lab wszczął eksperckie śledztwo w sprawie serii ataków na systemy komputerowe międzynarodowych organizacji dyplomatycznych, które ujawniły zakrojoną na szeroką skalę sieć cyberszpiegowską. Kaspersky Lab informuje, że operacja Czerwony Październik, w skrócie „Rocra”, jest nadal aktywna i sięga 2007 roku.

Główne wyniki badań:

Czerwony Październik to zaawansowana sieć cyberszpiegowska: napastnicy są aktywni od co najmniej 2007 roku i skupiają się głównie na agencjach dyplomatycznych i rządowych na całym świecie, a także instytutach badawczych, grupach energetycznych i nuklearnych oraz organizacjach komercyjnych i lotniczych. Przestępcy z Czerwonego Października opracowali własnego szkodnika, którego Kaspersky Lab zidentyfikował jako „Rocra”. Szkodnik ten ma swoją unikalną strukturę modułową ze złośliwymi rozszerzeniami, modułami specjalizującymi się w kradzieży danych oraz tak zwanymi trojanami typu backdoor, które umożliwiają nieautoryzowany dostęp do systemu, a tym samym umożliwiają instalację dodatkowego szkodliwego oprogramowania i kradzież danych osobowych.

Atakujący często wykorzystują informacje wydobyte z zainfekowanych sieci, aby uzyskać dostęp do dodatkowych systemów. Na przykład skradzione uwierzytelnienia mogą dostarczyć wskazówek dotyczących haseł lub fraz wymaganych do uzyskania dostępu do dodatkowych systemów.

Aby kontrolować sieć zainfekowanych maszyn, osoby atakujące utworzyły ponad 60 nazw domen i wiele systemów hostingu serwerów w różnych krajach, większość z nich w Niemczech i Rosji. Analiza infrastruktury C&C (Command & Control) firmy Rocra wykazała, że ​​łańcuch serwerów faktycznie działał jako proxy, aby ukryć „statek-matkę”, czyli lokalizację serwera kontrolnego.

Dokumenty zawierające informacje skradzione z zainfekowanych systemów obejmują następujące rozszerzenia: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidsa. Rozszerzenie „acid” może odnosić się do oprogramowania „Acid Cryptofiler” używanego przez wiele instytucji od Unii Europejskiej po NATO.

Ofiary

Aby zainfekować system, przestępcy wysyłali do ofiary ukierunkowane wiadomości e-mail typu „spear-phishing” zawierające spersonalizowanego „droppera” trojana, wirusa, który potrafił się rozmnażać samodzielnie. Aby zainstalować złośliwe oprogramowanie i zainfekować system, złośliwa wiadomość e-mail zawierała exploity, które wykorzystywały luki w Microsoft Office i Microsoft Excel. Exploity w wiadomości phishingowej zostały stworzone przez innych atakujących i wykorzystane podczas różnych cyberataków, w tym tybetańskich aktywistów oraz celów wojskowych i energetycznych w Azji. Jedyną rzeczą, która wyróżnia dokument używany przez firmę Rocra, jest osadzony plik wykonywalny, który osoby atakujące zastąpiły własnym kodem. Warto zauważyć, że jedno z poleceń w dropperze trojana zmieniło domyślną systemową stronę kodową wiersza poleceń na 1251, która jest wymagana dla czcionki cyrylicy.

Cele

Eksperci z Kaspersky Lab wykorzystali dwie metody analizy celów. Z jednej strony są one oparte na statystykach wykrywania usługi bezpieczeństwa opartej na chmurze Kaspersky Security Network (KSN), której produkty firmy Kaspersky Lab wykorzystują do zgłaszania danych telemetrycznych i zapewniania zaawansowanej ochrony za pomocą czarnych list i reguł heurystycznych. Już w 2011 roku KSN wykrył kod exploita wykorzystany w złośliwym oprogramowaniu, co uruchomiło dodatkowy proces monitorowania związany z Rocra. Drugą metodą badaczy było stworzenie tak zwanego systemu „sinkhole”, który mógłby być wykorzystany do śledzenia zainfekowanego systemu podłączonego do serwerów C&C Rocra. Dane uzyskane dwiema różnymi metodami niezależnie potwierdziły wyniki.

• Statystyki KSN: KSN wykrył setki unikalnych zainfekowanych systemów, w większości obejmujących ambasady, sieci i organizacje rządowe, instytuty naukowo-badawcze i konsulaty. Według danych zebranych przez KSN, większość zainfekowanych systemów pochodzi z Europy Wschodniej, ale incydenty zidentyfikowano również w Ameryce Północnej i krajach Europy Zachodniej, Szwajcarii i Luksemburgu.
• Statystyki leja: Analiza leja przeprowadzona przez Kaspersky Lab trwała od 2012 listopada 2 r. do 2013 stycznia 10 r. W tym czasie w 250 krajach zarejestrowano ponad 55 0000 połączeń z 39 zainfekowanych adresów IP. Większość zainfekowanych połączeń IP pochodziła ze Szwajcarii, Kazachstanu i Grecji.

Malware Rocra: unikalna struktura i funkcjonalność

Osoby atakujące stworzyły wielofunkcyjną platformę, która zawiera szereg rozszerzeń i szkodliwych plików, aby łatwo dostosować się do różnych konfiguracji systemu i zbierać wartość intelektualną z zainfekowanych maszyn. Ta platforma jest unikalna dla Rocra, Kaspersky Lab nie widział niczego podobnego w poprzednich kampaniach cyberszpiegowskich. Jego główne cechy to:

• Moduł „Wskrzeszenie”: Ten unikalny moduł umożliwia atakującym wskrzeszenie zainfekowanych maszyn. Moduł jest osadzony jako wtyczka w instalacjach Adobe Reader i Microsoft Office i zapewnia przestępcom bezpieczny sposób ponownego uzyskania dostępu do zaatakowanego systemu w przypadku wykrycia i usunięcia głównej części szkodliwego oprogramowania lub gdy luki w systemie zostaną naprawione. Po ponownym uruchomieniu C&C atakujący wysyłają specjalny plik dokumentu (PDF lub Office) do komputera ofiary za pośrednictwem poczty elektronicznej, który reaktywuje szkodliwe oprogramowanie.
• Zaawansowane moduły szpiegowskie: Głównym celem modułów szpiegowskich jest kradzież informacji. Obejmuje to pliki z różnych systemów szyfrowania, takich jak Acid Cryptofiler, który jest używany przez organizacje takie jak NATO, Unia Europejska, Parlament Europejski i Komisja Europejska.
• Urządzenia mobilne: oprócz atakowania tradycyjnych stacji roboczych złośliwe oprogramowanie może również kraść dane z urządzeń mobilnych, takich jak smartfony (iPhone, Nokia i Windows Mobile). Ponadto złośliwe oprogramowanie zbiera dane konfiguracyjne z usuniętych plików z firmowych urządzeń sieciowych, takich jak routery, przełączniki i wymienne dyski twarde.

Informacje o atakujących: Na podstawie danych rejestracyjnych serwerów C&C oraz szeregu pozostałości znalezionych w plikach wykonywalnych szkodliwego oprogramowania, mocne dowody techniczne wskazują na rosyjskie pochodzenie atakujących. Ponadto pliki wykonywalne wykorzystywane przez przestępców były do ​​tej pory nieznane, a eksperci z Kaspersky Lab nie zidentyfikowali ich w swoich poprzednich analizach cyberszpiegowskich.

Dzięki swojej wiedzy technicznej i zasobom Kaspersky Lab będzie nadal badać Rocra w ścisłej współpracy z organizacjami międzynarodowymi, organami ścigania i krajowymi centrami bezpieczeństwa sieci.

Kaspersky Lab pragnie podziękować CERT-owi amerykańskiemu, rumuńskiemu oraz białoruskiemu za pomoc w śledztwie.

Produkty firmy Kaspersky Lab, pomyślnie sklasyfikowane jako Blockdoor.Win32.Sputnik, zostały pomyślnie wykryte, zablokowane i przywrócone.