Rød oktober - Aurora-kanoner fyres ikke længere!

Kaspersky Lab udgav i dag en ny rapport, der identificerer et nyt cyberspionageangreb, der har angrebet diplomatiske, statslige og videnskabelige forskningsorganisationer verden over i mindst fem år. Serien af ​​angreb er primært rettet mod østeuropæiske lande, medlemmer af det tidligere Sovjetunionen og Centralasien, men hændelser forekommer overalt, inklusive Vesteuropa og Nordamerika.

Angriberne sigter mod at stjæle vigtige dokumenter fra organisationer, herunder geopolitisk information, godkendelser, der kræves for at få adgang til computersystemer, og personlige data fra mobile enheder og netværksudstyr.

I oktober 2012 indledte Kaspersky Labs eksperter en undersøgelse af en række angreb på computersystemer fra internationale diplomatiske organisationer, der udsatte et stort cyberspionage-netværk. Kaspersky Lab rapporterer, at den røde oktober-operation, forkortet ”Rocra”, stadig er aktiv og vil begynde i 2007.

Vigtigste forskningsresultater:

Red October er et avanceret cyberspionage netværk: Angribere har været aktive siden mindst 2007 og fokuserer primært på diplomatiske og statslige agenturer rundt om i verden samt forskningsinstitutter, energi og nukleare grupper samt kommercielle og luftfartsorganisationer. Kriminelle fra Red October har udviklet deres eget skadedyr, som Kaspersky Lab har identificeret som “Rocra”. Denne malware har sin egen unikke modulære struktur med ondsindede udvidelser, moduler, der specialiserer sig i datatyveri, og såkaldte "bagdør" trojans, som tillader uautoriseret adgang til systemet og således muliggør installation af yderligere malware og tyveri af personlige data.

Angribere bruger ofte information ekstraheret fra inficerede netværk for at få adgang til yderligere systemer. For eksempel kan stjålne godkendelser give spor til adgangskoder eller sætninger, der kræves for at få adgang til yderligere systemer.

For at kontrollere netværket af inficerede maskiner oprettede angriberne mere end 60 domænenavne og et antal serverhostingsystemer i forskellige lande, de fleste af dem i Tyskland og Rusland. En analyse af Rocras C&C (Command & Control) infrastruktur viste, at serverkæden faktisk fungerede som en proxy for at skjule "moderskibet", dvs. placeringen af ​​kontrolserveren.

Dokumenter, der indeholder stjålne oplysninger fra inficerede systemer, inkluderer følgende udvidelser: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidssa. Udvidelsen "syre" kan henvise til "Acid Cryptofiler" -softwaren, der bruges af mange institutioner fra Den Europæiske Union til NATO.

Ofre

For at inficere systemet sendte kriminelle målrettede "spyd-phising" e-mails til offeret med en personlig Trojan "dropper", en virus der kunne reproducere alene. For at installere malware og inficere dit system indeholdt den ondsindede e-mail udnyttelser, der udnyttede sårbarheder i Microsoft Office og Microsoft Excel. Udnyttelsen af ​​phishing-meddelelsen blev skabt af andre angribere og brugt under forskellige cyberangreb, herunder tibetanske aktivister og militære og energimål i Asien. Det eneste, der adskiller det dokument, der bruges af Rocra, er den indlejrede eksekverbare fil, som angriberne erstattede med deres egen kode. Det er bemærkelsesværdigt, at en af ​​kommandoerne i den trojanske dropper ændrede standardsystemkodesiden på kommandolinjen til 1251, hvilket er nødvendigt for den kyrilliske skrifttype.

Mål

Kaspersky Lab-eksperter brugte to metoder til at analysere målene. På den ene side er de baseret på Kaspersky Security Network (KSN) cloudbaserede statistikker til opdagelse af sikkerhedstjenester, som Kaspersky Labs produkter bruger til at rapportere telemetri og yde avanceret beskyttelse ved hjælp af sortlister og heuristiske regler. Så tidligt som i 2011 opdagede KSN den udnyttelseskode, der blev brugt i malware, hvilket udløste en yderligere overvågningsproces relateret til Rocra. Forskernes anden metode var at oprette et system kaldet "sinkhole" til at spore det inficerede system, der sluttede til Rocras C & C-servere. Dataene opnået ved de to forskellige metoder bekræftede uafhængigt resultaterne.

• KSN-statistik: KSN har opdaget hundredvis af unikke inficerede systemer, hvor de fleste involverer ambassader, offentlige netværk og organisationer, videnskabelige forskningsinstitutter og konsulater. Ifølge data indsamlet af KSN stammer størstedelen af ​​de inficerede systemer i Østeuropa, men hændelser er også identificeret i Nordamerika og Vesteuropæiske lande, Schweiz og Luxembourg.
• Sinkhole-statistik: Kaspersky Labs analyse af sinkhole varede fra 2012. november 2 til 2013. januar 10. I løbet af denne periode blev der registreret mere end 250 forbindelser fra 55 inficerede IP-adresser i 0000 lande. De fleste inficerede IP-forbindelser kom fra Schweiz, Kasakhstan og Grækenland.

Rocra malware: unik struktur og funktionalitet

Angriberne skabte en multifunktionel platform, der inkluderer et antal udvidelser og ondsindede filer, der let kan tilpasse sig forskellige systemkonfigurationer og samle intellektuel værdi fra inficerede maskiner. Denne platform er unik for Rocra, Kaspersky Lab har ikke set noget lignende i tidligere cyberspionagekampagner. Dets vigtigste funktioner er:

• “Resurrect” -modul: Dette unikke modul gør det muligt for angribere at genoplive inficerede maskiner. Modulet er indlejret som et plug-in i Adobe Reader og Microsoft Office-installationer og giver en sikker måde for kriminelle at genvinde adgang til det målrettede system i tilfælde af, at hoveddelen af ​​malware opdages og fjernes, eller når sårbarheder i systemet er faste. Efter C & C'erne arbejder igen, sender angriberne en speciel dokumentfil (PDF eller Office) til ofrenes maskine via e-mail, som genaktiverer malware.
• Avancerede spionmoduler: Hovedformålet med spionmoduler er at stjæle information. Dette inkluderer filer fra forskellige krypteringssystemer, såsom Acid Cryptofiler, som bruges af organisationer som NATO, EU, Europa-Parlamentet og Europa-Kommissionen.
• Mobilenheder: Ud over at angribe traditionelle arbejdsstationer kan malware også stjæle data fra mobile enheder såsom smartphones (iPhone, Nokia og Windows Mobile). Derudover indsamler malware konfigurationsdata fra slettede filer fra virksomhedsnetværksenheder såsom routere, switche og flytbare harddiske.

Om angriberne: Baseret på registreringsdataene for C & C-serverne og et antal rester, der findes i de eksekverbare filer af malware, peger stærke tekniske beviser på angrebernes russiske oprindelse. Derudover har de eksekverbare filer, der blev brugt af kriminelle, været ukendte indtil nu, og Kaspersky Lab-eksperter identificerede dem ikke i deres tidligere cyberspioneringsanalyser.

Med sin tekniske ekspertise og ressourcer vil Kaspersky Lab fortsætte med at undersøge Rocra i tæt samarbejde med internationale organisationer, retshåndhævende myndigheder og nationale netværkssikkerhedscentre.

Kaspersky Lab vil gerne takke US-CERT, rumænske CERT'er og hviderussiske CERT for deres hjælp til efterforskningen.

Kaspersky Labs produkter, der med succes er klassificeret som Blockdoor.Win32.Sputnik, er med succes blevet opdaget, blokeret og gendannet.