Crveni listopad - Aurora topovi više ne pucaju!

Kaspersky Lab objavio je danas novo izvješće u kojem se identificira novi napad na cyber špijunažu koji napada diplomatske, vladine i znanstveno-istraživačke organizacije širom svijeta već najmanje pet godina. Serija napada prvenstveno je usmjerena na zemlje Istočne Europe, članice bivšeg Sovjetskog Saveza i Srednju Aziju, ali incidenti se događaju svugdje, uključujući zapadnu Europu i Sjevernu Ameriku.

Cilj napadača je ukrasti kritične dokumente od organizacija, uključujući geopolitičke informacije, autentifikaciju potrebnu za pristup računalnim sustavima i osobne podatke s mobilnih uređaja i mrežne opreme.

U listopadu 2012. stručnjaci Kaspersky Laba pokrenuli su istragu protiv niza napada usmjerenih na računalne sustave međunarodnih diplomatskih organizacija, tijekom kojih su razotkrili mrežu kibernetičke špijunaže velikih razmjera. Prema izvješću Kaspersky Laba, operacija Crveni oktobar, skraćeno nazvana "Rocra", još uvijek je aktivna, a njen početak seže u 2007. godinu.

Glavni rezultati istraživanja:

Crveni oktobar je napredna mreža kibernetičke špijunaže: Napadači su aktivni najmanje od 2007. godine i primarno su usredotočeni na diplomatske i vladine agencije diljem svijeta, kao i istraživačke institute, energetske i nuklearne skupine te komercijalne i zrakoplovne organizacije. Kriminalci Crvenog listopada razvili su vlastiti malware, koji je Kaspersky Lab identificirao kao "Rocra". Ovaj maliciozni program ima vlastitu, jedinstvenu modularnu strukturu sa zlonamjernim ekstenzijama, modulima specijaliziranim za krađu podataka i tzv. "backdoor" trojancima koji omogućuju neovlašten pristup sustavu i na taj način omogućuju instaliranje dodatnog malwarea i krađu osobnih podataka.

Napadači često koriste podatke izvučene iz zaraženih mreža da bi dobili pristup dodatnim sustavima. Na primjer, ukradene provjere autentičnosti mogu pružiti naznake lozinki ili fraza potrebnih za pristup dodatnim sustavima.

Kako bi kontrolirali mrežu zaraženih računala, napadači su kreirali više od 60 naziva domena i nekoliko sustava za hosting poslužitelja u različitim zemljama, većina njih u Njemačkoj i Rusiji. Analiza Rocra C&C (Command & Control) infrastrukture pokazala je da je lanac servera zapravo djelovao kao proxy za skrivanje lokacije "matičnog broda", odnosno kontrolnog servera.

Dokumenti koji sadrže podatke ukradene iz zaraženih sustava imaju sljedeće ekstenzije: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Ekstenzija "acid" može se odnositi na softver "Acid Cryptofiler", koji koriste mnoge institucije od Europske unije do NATO-a.

Žrtve

Kako bi zarazili sustav, kriminalci su žrtvi slali ciljane e-poruke o "kopljanju" personaliziranim trojanskim "kapaljkom", virusom koji se mogao reproducirati sam. Da bi instalirao zlonamjerni softver i zarazio vaš sustav, zlonamjerna e-pošta sadržavala je exploite koji su koristili ranjivosti u sustavima Microsoft Office i Microsoft Excel. Ekploite u phishing poruci stvorili su drugi napadači i koristili tijekom raznih cyber napada, uključujući tibetanske aktiviste i vojne i energetske ciljeve u Aziji. Jedina stvar koja razlikuje dokument koji koristi Rocra je ugradiva izvršna datoteka koju su napadači zamijenili vlastitim kodom. Istaknuto je da je jedna od naredbi u trojanskoj kapaljki promijenila zadanu kodnu stranicu sustava naredbenog retka u 1251, koja je potrebna za ćirilicu.

Ciljevi

Stručnjaci Kaspersky Laba koristili su dvije metode za analizu ciljeva. S jedne strane, temelje se na statistici otkrivanja sigurnosne usluge zasnovane na oblaku Kaspersky Security Network (KSN), koju proizvodi tvrtke Kaspersky Lab koriste za izvještavanje o telemetriji i pružanje napredne zaštite pomoću crnih popisa i heurističkih pravila. Već 2011. KSN je otkrio eksploatacijski kôd korišten u zlonamjernom softveru, što je pokrenulo dodatni postupak praćenja vezan uz Rocra. Druga metoda istraživača bila je stvoriti takozvani sustav "vrtače" koji bi se mogao koristiti za praćenje zaraženog sustava koji je bio povezan s Rocrainim C&C poslužiteljima. Podaci dobiveni dvjema različitim metodama neovisno su potvrdili rezultate.

• Statistika KSN-a: KSN je otkrio stotine jedinstvenih zaraženih sustava, od kojih većina uključuje veleposlanstva, vladine mreže i organizacije, znanstveno-istraživačke institute i konzulate. Prema podacima koje je prikupio KSN, većina zaraženih sustava potječe iz istočne Europe, ali incidenti su utvrđeni i u Sjevernoj Americi i zapadnoeuropskim zemljama, Švicarskoj i Luksemburgu.
• Statistika vrtača: Analiza vrtača tvrtke Kaspersky Lab trajala je od 2012. studenog 2. do 2013. siječnja 10. Tijekom tog vremena zabilježeno je više od 250 55 veza s 0000 zaraženih IP adresa u 39 zemalja. Najviše zaraženih IP veza došlo je iz Švicarske, Kazahstana i Grčke.

Rocra malware: jedinstvena struktura i funkcionalnost

Napadači su stvorili višenamjensku platformu koja uključuje brojne dodatke i zlonamjerne datoteke za jednostavnu prilagodbu različitim konfiguracijama sustava i prikupljanje intelektualne vrijednosti od zaraženih računala. Ova je platforma jedinstvena za Rocra, a Kaspersky Lab nije vidio ništa slično u prethodnim kampanjama cyber špijunaže. Njegove glavne značajke su:

• Modul "Uskrsnuća": Ovaj jedinstveni modul omogućuje napadačima da uskrsnu zaražene strojeve. Modul je ugrađen kao dodatak u instalacije programa Adobe Reader i Microsoft Office i pruža siguran način za kriminalce da ponovo dobiju pristup ciljanom sustavu ako se otkrije i ukloni glavno tijelo zlonamjernog softvera ili ako se zakrpaju ranjivosti sustava. Nakon što C&C ponovno proradi, napadači šalju posebnu datoteku dokumenta (PDF ili Office) na žrtvin stroj putem e-pošte, što ponovno aktivira zlonamjerni softver.
• Napredni špijunski moduli: Glavna svrha špijunskih modula je krađa podataka. To uključuje datoteke iz različitih sustava šifriranja, poput Acid Cryptofiler, koji koriste organizacije poput NATO-a, Europske unije, Europskog parlamenta i Europske komisije.
• Mobilni uređaji: Osim napada na tradicionalne radne stanice, zlonamjerni softver također može krasti podatke s mobilnih uređaja kao što su pametni telefoni (iPhone, Nokia i Windows Mobile). Osim toga, zlonamjerni softver prikuplja podatke o konfiguraciji iz izbrisanih datoteka s mrežnih uređaja tvrtke, poput usmjerivača, prekidača i prijenosnih tvrdih diskova.

O napadačima: Na temelju podataka o registraciji C&C poslužitelja i niza ostataka pronađenih u izvršnim datotekama zlonamjernog softvera, snažni tehnički dokazi ukazuju na rusko podrijetlo napadača. Uz to, izvršne datoteke koje su koristili kriminalci do sada su bile nepoznate, a stručnjaci tvrtke Kaspersky Lab nisu ih identificirali u svojim prethodnim analizama cyber špijunaže.

Sa svojom tehničkom stručnošću i resursima, Kaspersky Lab nastavit će istraživati ​​Rocra u bliskoj suradnji s međunarodnim organizacijama, agencijama za provođenje zakona i centrima za nacionalnu mrežnu sigurnost.

Laboratorij Kaspersky želi zahvaliti US-CERT-u, rumunjskom CERT-u i bjeloruskom CERT-u na pomoći u istrazi.

Proizvodi tvrtke Kaspersky Lab, uspješno klasificirani kao Blockdoor.Win32.Sputnik, uspješno su otkriveni, blokirani i obnovljeni.