Złośliwe oprogramowanie firmy Red October wykryte po latach kradzieży danych na wolności

Mroczna grupa hakerów przesyła dane wywiadowcze z całego świata z sieci komputerowych dyplomatycznych, rządowych i badawczych przez ponad pięć lat, w tym cele w Stanach Zjednoczonych, zgodnie z raport z Kaspersky Lab

Kaspersky Lab rozpoczął badania nad atakami złośliwego oprogramowania w październiku i nazwał je "Rocra", skrót od "Red October". Rocra używa wielu luk w zabezpieczeniach typów dokumentów Microsoft Excel, Word i PDF, aby zainfekować Komputery osobiste, smartfony i sprzęt komputerowy. We wtorek naukowcy odkryli, że platforma szkodliwego oprogramowania wykorzystuje również internetowe exploity Java.

Nie wiadomo, kto stoi za atakami, ale Rocra używa co najmniej trzech publicznie znanych exploitów oryginalnie stworzonych przez chińskich hakerów. Według raportu firmy Kaspersky Lab, programowanie Rocry wydaje się pochodzić z oddzielnej grupy rosyjskojęzycznych agentów

[Dalsze czytanie: Twój nowy komputer potrzebuje 15 darmowych, doskonałych programów]

Ataki są ciągłe i ukierunkowane na instytucje wysokiego szczebla w tak zwanych atakach z użyciem włóczni. Kaspersky szacuje, że ataki z Czerwonego Października prawdopodobnie dostały setki terabajtów danych w czasie, gdy był operacyjny, może to być już w maju 2007 r.

Infekcje Rocra zostały wykryte w ponad 300 krajach w latach 2011-2012, Informacje o produktach antywirusowych Kaspersky. Dotknięte kraje to przede wszystkim byli członkowie ZSRR, w tym Rosja (35 zakażeń), Kazachstan (21) i Azerbejdżan (15).

Inne kraje o dużej liczbie infekcji to Belgia (15), Indie (14), Afganistan (10) i Armenia (10). Sześć infekcji zostało odkrytych w ambasadach zlokalizowanych w Stanach Zjednoczonych. Ponieważ liczby te pochodzą tylko z komputerów korzystających z oprogramowania Kaspersky, liczba infekcji może być znacznie większa.

Weź wszystko

Firma Kaspersky twierdzi, że złośliwe oprogramowanie użyte w programie Rocra może wykraść dane ze stacji roboczych komputerów PC i smartfonów podłączonych do komputerów PC, w tym Telefony iPhone, Nokia i Windows Mobile. Rocra może pozyskiwać informacje o konfiguracji sieci z urządzeń marki Cisco i pobierać pliki z dysków wymiennych, w tym z usuniętych danych.

Platforma ze złośliwym oprogramowaniem może również kradnąć wiadomości e-mail i załączniki, rejestrować wszystkie naciśnięcia klawiszy zainfekowanej maszyny, robić zrzuty ekranu, i przeglądaj historię przeglądania w przeglądarkach Chrome, Firefox, Internet Explorer i Opera. Jakby tego było mało, Rocra przechwytuje również pliki przechowywane na lokalnych serwerach FTP i może się replikować w sieci lokalnej.

Par na kurs

Mimo że możliwości Rocry są rozległe, nie wszyscy w dziedzinie bezpieczeństwa był pod wrażeniem metod ataku Rocry. "Wygląda na to, że użyte exploity nie zostały w żaden sposób udoskonalone" - powiedział na swoim firmowym blogu firma F-Secure. "Osoby atakujące używały starych, dobrze znanych exploitów Word, Excel i Java. Jak na razie nie ma żadnych luk w zabezpieczeniach typu zero-day. "Luka" zero-day "odnosi się do nieznanych wcześniej exploitów odkrytych na wolności.

Pomimo niewystarczających zdolności technicznych, F-Secure twierdzi, że ataki Czerwonego Października są interesujące z powodu czasu, w którym Rocra była aktywna i skali szpiegostwa podjętej przez jedną grupę. "Jednak" dodał F-Secure. "Smutną prawdą jest, że firmy i rządy są ciągle pod podobnymi atakami z wielu różnych źródeł."

Rocra rozpoczyna się, gdy ofiara pobiera i otwiera złośliwy plik produktywności (Excel, Word, PDF), który może następnie pobrać więcej złośliwego oprogramowania z Rocra's serwery kontroli i kontroli, metoda znana jako trojan dropper. Ta druga seria złośliwego oprogramowania obejmuje programy, które zbierają dane i wysyłają je z powrotem do hakerów.

Skradzione dane mogą obejmować codzienne typy plików, takie jak zwykły tekst, tekst sformatowany, Word i Excel, ale ataki z Czerwonego Października dotyczą również danych kryptograficznych, takich jak zaszyfrowane pliki PGG i gpg.

Ponadto Rocra szuka plików, które używają Rozszerzenia "Acid Cryptofile", czyli oprogramowanie kryptograficzne używane przez rządy i organizacje, w tym Unię Europejską i Organizację Traktatu Północnoatlantyckiego. Nie jest jasne, czy ludzie odpowiedzialni za Rocrę są w stanie odszyfrować wszelkie zaszyfrowane dane.

Odradzanie e-maili

Rocra jest również szczególnie odporna na zakłócenia ze strony organów ścigania, twierdzi Kaspersky. Jeśli serwery kontroli nakazu kampanii zostały zamknięte, hakerzy zaprojektowali system, aby mogli odzyskać kontrolę nad swoją platformą szkodliwego oprogramowania za pomocą prostego e-maila.

Jeden z komponentów Rocry wyszukuje każdy przychodzący dokument PDF lub Office zawiera kod wykonywalny i jest oznaczony specjalnymi znacznikami metadanych. Dokument przejdzie wszystkie kontrole bezpieczeństwa, jak twierdzi Kaspersky, ale po pobraniu i uruchomieniu, Rocra może uruchomić złośliwą aplikację dołączoną do dokumentu i kontynuować przesyłanie danych do złych gości. Wykorzystując tę ​​sztuczkę, wszyscy hakerzy muszą skonfigurować nowe serwery i wysłać e-mailem złośliwe dokumenty do poprzednich ofiar, aby wrócić do biznesu.

Serwery Rocra są skonfigurowane jako seria serwerów proxy (serwery ukrywające się za innymi serwerami), co znacznie utrudnia odkrycie źródła ataków. Kasperksy mówi, że złożoność infrastruktury Rocra rywalizuje ze złośliwym oprogramowaniem Flame, które służyło również do infekowania komputerów i kradzieży poufnych danych. Nie ma znanego związku między Rocrą, Flame i szkodliwym oprogramowaniem, takim jak Duqu, który został zbudowany na kodzie podobnym do Stuxnet.

Jak zauważył F-Secure, ataki Czerwonego Października nie wydają się robić nic szczególnie nowego, ale ilość czasu, jaki ta kampania szkodliwego oprogramowania była na wolności, robi wrażenie. Podobnie jak w przypadku innych kampanii szpiegowskich, takich jak Flame, Red October polega na nakłanianiu użytkowników do pobierania i otwierania złośliwych plików lub odwiedzania złośliwych stron internetowych, na których można wstrzykiwać kod do ich urządzeń. Sugeruje to, że chociaż szpiegostwo komputerowe może rosnąć, podstawy bezpieczeństwa komputerowego mogą znacznie się przedłużyć, aby zapobiec takim atakom.

Zachowaj środki ostrożności

Przydatne środki ostrożności, takie jak ostrożność w stosunku do plików od nieznanych nadawców lub pilnowanie pliki, które nie mają charakteru od rzekomego nadawcy, są dobrym początkiem. Warto również zachować ostrożność podczas odwiedzania witryn, których nie znasz lub którym nie ufasz, szczególnie w przypadku korzystania z urządzeń firmowych. Na koniec upewnij się, że masz wszystkie najnowsze aktualizacje zabezpieczeń dla swojej wersji systemu Windows i poważnie rozważ wyłączenie Javy, chyba że jest to absolutnie konieczne. Możesz nie być w stanie zapobiec wszelkim atakom, ale przestrzeganie podstawowych zasad bezpieczeństwa może chronić Cię przed wieloma złymi aktorami w Internecie.

Kaspersky twierdzi, że nie jest jasne, czy ataki Czerwonego Października są dziełem państwa narodowego lub kryminalisty do sprzedaży poufnych danych na czarnym rynku. Firma zajmująca się bezpieczeństwem planuje wydać więcej informacji o firmie Rocra w najbliższych dniach.

Jeśli obawiasz się, że Rocra ma wpływ na któryś z Twoich systemów, F-Secure mówi, że oprogramowanie antywirusowe może wykryć znane exploity używane w oprogramowaniu Rocra. Ataki Czerwonego Października. Oprogramowanie antywirusowe Kaspersky Anti-Virus może również wykrywać zagrożenia ze strony Rocra.