Червен октомври - оръдията на Аврора вече не се изстрелват!

Лабораторията на Касперски публикува днес нов доклад, идентифициращ нова кибер шпионска атака, която атакува дипломатически, правителствени и научноизследователски организации по света от поне пет години. Поредицата от атаки е насочена предимно към страните от Източна Европа, членове на бившия Съветски съюз и Централна Азия, но инциденти се случват навсякъде, включително Западна Европа и Северна Америка.

Нападателите имат за цел да откраднат критични документи от организации, включително геополитическа информация, удостоверяване, необходимо за достъп до компютърни системи, и лични данни от мобилни устройства и мрежово оборудване.

През октомври 2012 г. експертите на „Лаборатория Касперски“ започнаха разследване на поредица от атаки срещу компютърни системи на международни дипломатически организации, които разкриха мащабна мрежа за кибер шпионаж. „Лаборатория на Касперски“ съобщава, че операцията „Червеният октомври“, съкратена на „Rocra“, все още е активна и датира от 2007 г.

Основни резултати от изследванията:

Червеният октомври е напреднала мрежа за кибер шпионаж: Нападателите са активни поне от 2007 г. и се фокусират предимно върху дипломатически и правителствени агенции по света, както и изследователски институти, енергийни и ядрени групи и търговски и авиационни организации. Престъпниците от Червения октомври са разработили свой собствен вредител, който Лабораторията на Касперски е определила като „Рокра“. Този зловреден софтуер има своя уникална модулна структура със злонамерени разширения, модули, специализирани в кражба на данни, и така наречените „backdoor” троянски коне, които позволяват неоторизиран достъп до системата и по този начин позволяват инсталирането на допълнителен зловреден софтуер и кражба на лични данни.

Атакуващите често използват информация, извлечена от заразени мрежи, за да получат достъп до допълнителни системи. Например откраднатите удостоверения могат да предоставят улики за паролите или фразите, необходими за достъп до допълнителни системи.

За да контролират мрежата от заразени машини, нападателите са създали над 60 имена на домейни и редица сървърни хостинг системи в различни страни, повечето от които в Германия и Русия. Анализ на инфраструктурата C&C (Command & Control) на Rocra показа, че сървърната верига действително е действала като прокси за скриване на „кораба майка“, т.е. местоположението на контролния сървър.

Документите, съдържащи открадната информация от заразени системи, включват следните разширения: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidssa. Разширението „киселина“ може да се отнася до софтуера „Acid Cryptofiler“, използван от много институции от Европейския съюз до НАТО.

Жертви

За да заразят системата, престъпниците изпращат целеви имейли за „копиране на копия“ до жертвата с персонализиран троянски „капкомер“, вирус, който може да се възпроизведе сам. За да инсталирате зловредния софтуер и да заразите вашата система, злонамереният имейл съдържа експлойти, които използват уязвимости в Microsoft Office и Microsoft Excel. Експлойтите във фишинг съобщението са създадени от други нападатели и са използвани по време на различни кибератаки, включително тибетски активисти и военни и енергийни цели в Азия. Единственото нещо, което прави документа, използван от Rocra, различен, е вградимият изпълним файл, който нападателите са заменили със собствен код. Забележително е, че една от командите в троянския капкомер променя системната кодова страница по подразбиране на командния ред на 1251, която се изисква за кириличния шрифт.

Цели

Експертите на Лабораторията на Касперски използваха два метода за анализ на целите. От една страна, те се основават на статистика за откриване на услугата за сигурност в облака на Kaspersky Security Network (KSN), която продуктите на Kaspersky Lab използват за отчитане на телеметрия и осигуряване на разширена защита, използвайки черни списъци и евристични правила. Още през 2011 г. KSN откри кода за експлойт, използван в зловредния софтуер, което предизвика допълнителен процес на мониторинг, свързан с Rocra. Вторият метод на изследователите беше да се създаде система, наречена „пробивна яма“, за да се проследи заразената система, свързана към C&C сървърите на Rocra. Данните, получени по двата различни метода, независимо потвърждават резултатите.

• Статистика на KSN: KSN откри стотици уникални заразени системи, повечето от които включват посолства, правителствени мрежи и организации, научноизследователски институти и консулства. Според данните, събрани от KSN, по-голямата част от заразените системи произхождат от Източна Европа, но инциденти са установени и в Северна Америка и страните от Западна Европа, Швейцария и Люксембург.
• Статистика за подземните дупки: Анализът на подземните дупки на Kaspersky Lab продължи от 2012 ноември 2 г. до 2013 януари 10 г. През това време бяха записани над 250 55 връзки от 0000 заразени IP адреса в 39 държави. Повечето заразени IP връзки идват от Швейцария, Казахстан и Гърция.

Злонамерен софтуер на Rocra: уникална структура и функционалност

Атакуващите са създали многофункционална платформа, която включва редица приставки и злонамерени файлове, които лесно се адаптират към различни системни конфигурации и събират интелектуална стойност от заразените машини. Тази платформа е уникална за Rocra, Kaspersky Lab не е виждал нищо подобно в предишни кампании за кибер шпионаж. Основните му характеристики са:

• Модул „Resurrect“: Този уникален модул позволява на атакуващите да възкресят заразените машини. Модулът е вграден като плъгин в инсталациите на Adobe Reader и Microsoft Office и осигурява сигурен начин за престъпниците да си възвърнат достъпа до целевата система в случай, че основната част от зловреден софтуер бъде открит и премахнат, или когато уязвимости в системата са фиксирани. След като C&C отново заработят, нападателите изпращат специален файл с документи (PDF или Office) до машината на жертвите по имейл, който реактивира зловредния софтуер.
• Разширени шпионски модули: Основната цел на шпионските модули е да крадат информация. Това включва файлове от различни системи за криптиране, като Acid Cryptofiler, който се използва от организации като НАТО, Европейския съюз, Европейския парламент и Европейската комисия.
• Мобилни устройства: Освен че атакува традиционни работни станции, зловредният софтуер може също да краде данни от мобилни устройства като смартфони (iPhone, Nokia и Windows Mobile). В допълнение, зловредният софтуер събира конфигурационни данни от изтрити файлове от корпоративни мрежови устройства като рутери, комутатори и сменяеми твърди дискове.

Относно нападателите: Въз основа на регистрационните данни на C&C сървърите и редица остатъци, открити в изпълнимите файлове на зловредния софтуер, силни технически доказателства сочат руския произход на нападателите. Освен това изпълнимите файлове, използвани от престъпниците, са били неизвестни досега, а експертите на Лабораторията на Касперски не са ги идентифицирали в предишните си анализи за кибер шпионаж.

Със своята техническа експертиза и ресурси, Kaspersky Lab ще продължи да разследва Rocra в тясно сътрудничество с международни организации, правоприлагащи агенции и национални центрове за мрежова сигурност.

Лабораторията на Касперски би искала да благодари на US-CERT, румънските CERT и беларуския CERT за тяхното съдействие при разследването.

Продуктите на Kaspersky Lab, класифицирани като Backdoor.Win32.Sputnik, бяха успешно открити, блокирани и възстановени.