Kaspersky otkrio operaciju Crveni oktobar
Kompanija Kaspersky Lab otkrila operaciju „Crveni oktobar”, kampanju napredne sajber špijunaže koja napada diplomatske i vladine institucije širom sveta. Napadači su razvili jedinstven, veoma prilagodljiv štetni softver za krađu podataka i geopolitičkih informacija iz računarskih sistema, mobilnih telefona i mrežne opreme preduzeća
Kompanija Kaspersky Lab objavila je danas novi izveštaj koji je identifikovao neuhvatljivu kampanju sajber špijunaže koja je skoro pet godina napadala diplomatske, vladine i naučno-istraživačke organizacije iz nekoliko zemalja. Ova kampanja je pre svega bila usmerena ka zemljama u istočnoj Evropi, bivšim SSSR republikama i zemljama u centralnoj Aziji, iako je žrtve moguće pronaći svuda, obuhvatajući zapadnu Evropu i Severnu Ameriku. Glavni cilj napadača bio je prikupljanje osetljivih dokumenata iz ugroženih organizacija, među kojima i geopolitičke informacije, poverljive podatke za pristup tajnim računarskim sistemima, kao i podatke iz ličnih mobilnih uređaja i mrežne opreme.
U oktobru 2012. tim stručnjaka kompanije Kaspersky Lab pokrenuo je istragu nakon niza napada na računarske mreže koji su za cilj imali međunarodne diplomatske agencije. Mreža velike sajber špijunaže otkrivena je i analizirana tokom istrage. Prema analitičkom izveštaju kompanije Kaspersky Lab, operacija „Crveni oktobar“ (Red October), skraćeno „Rocra“, još uvek je aktivna od januara 2013, i traje čak od 2007. godine.
Glavna istraživačka otkrića
Napredna mreža kampanje „Crveni oktobar“: Napadači su bili aktivni još od 2007. godine i pored istraživačkih institucija, energetskih i nuklearnih kompanija, i ciljeva u trgovini i avio-industriji, bili su usmereni ka diplomatskim i vladinim agencijama iz različitih zemalja širom sveta. Napadači operacije „Crveni oktobar“ osmislili su sopstveni štetni softver, poznat kao „Rocra“, koji ima svoju jedinstvenu modularnu arhitekturu sastavljenu od štetnih ekstenzija, modula za krađu informacija i špijunskih Trojanaca.
Napadači su često koristili informacije ukradene iz zaraženih mreža kako bi ušli u nove sisteme. Na primer, ukradeni poverljivi podaci skupljeni su u listu i korišćeni kada su napadači morali da pogode lozinke ili fraze za pristup drugim sistemima.
Da bi kontrolisali mrežu zaraženih kompjutera, napadači su stvorili više od 60 domenskih imena i nekoliko lokacija za hosting servera u različitim zemljama, većinom u Nemačkoj i Rusiji. Analiza komandne i kontrolne (C2) infrastrukture operacije Rocra, koju je obavila kompanija Kaspersky Lab, pokazuje da je lanac servera zapravo radio kao posrednik u cilju skrivanja lokacije glavnog kontrolnog servera.
Informacije ukradene iz zaraženih sistema obuhvataju dokumente sa ekstenzijama: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Konkretno, ekstenzija „acid*“ izgleda da se odnosi na tajni softver „Acid Cryptofiler“, korišćen od strane više subjekata, od Evropske unije do NATO-a.
Širenje virusa
Kako bi zarazili sisteme, napadači su slali ciljanim žrtvama fišing imejl koji je sadržao prilagođeni program sa virusom Trojan. Da bi instalirao štetni softver i zarazio sistem, štetni imejl je sadržao izvršne kodove nameštene zbog bezbednosnih propusta unutar paketa Microsoft Office i Microsoft Excel. Izvršni kodovi iz dokumenata korišćenih u imejlovima za fišing kreirali su drugi napadači i bili su upotrebljavani tokom drugih sajber napada, obuhvatajući tibetanske aktiviste, kao i vojne i energetske sektore u Aziji. Jedino što su napadači promenili u dokumentu koji je koristio štetni softver Rocra bila je ugrađena izvršna datoteka, koju su napadači zamenili sopstvenim kodom. Naime, jedna od komandi u programu sa virusom Trojan menjala je podrazumevanu sistemsku kodnu stranu komandne sesije u 1251, što je potrebno prilikom korišćenja ćiriličnih fontova.
Ciljane žrtve i organizacije
Stručnjaci kompanije Kaspersky Lab koriste dva metoda analize meta. Pre svega, koristili su statistiku za otkrivanje iz paketa Kaspersky Security Network (KSN), sigurnosnog servisa zasnovanog na cloudu, koji koriste proizvodi kompanije Kaspersky Lab za prijavu telemetrije i pruže naprednu zaštitu od pretnji u obliku crne liste i heurističkih pravila. KSN je još u 2011. otkrivao izvršni kod korišćen u štetnom softveru, što je omogućilo stručnjacima kompanije Kaspersky Lab da potraže slična otkrića u vezi sa operacijom Rocra. Drugi metod koji koristi istraživački tim kompanije Kaspersky Lab jeste stvaranje „sinkhole“ servera kako bi mogli da prate povezivanje zaraženih mašina sa C2 serverima štetnog softvera Rocra. Podaci dobijeni tokom analize uz pomoć oba metoda obezbedili su dva nezavisna načina povezivanja i potvrđivanja njihovih saznanja.
· KSN statistika: Prema podacima dobijenim iz KSN statistike, otkriveno je nekoliko stotina jedinstvenih inficiranih sistema, sa naglaskom na više ambasada, vladinih mreža i organizacija, naučnih instituta i konzulata. Prema podacima KSN, većina otkrivenih infekcija nalazila se pre svega u istočnoj Evropi, ali su druge infekcije oktrivene u Severnoj Americi i zemljama zapadne Evrope, kao što su Švajcarska i Luksemburg.
· Sinkhole statistika: Sinkhole analiza kompanije Kaspersky Lab sprovođena je od 2. novembra 2012. do 10. januara 2013. Tokom ovog perioda više od 55.000 konekcija sa 250 zaraženih IP adresa registrovano je u 39 zemalja. Većina zaraženih IP konekcija bila je iz Švajcarske, slede Kazahstan i Grčka.
Štetni softver Rocra: jedinstvena arhitektura i funkcionalnost
Napadači su stvorili multifunkcionalnu platformu za napad koja obuhvata nekoliko ekstenzija i štetnih datoteka namenjenih brzom prilagođavanju konfiguracijama različitih sistema i skupljanju informacija iz zaraženih mašina. Ovu platformu poseduje samo softver Rocra i nije je identifikovala kompanija Kaspersky Lab u prethodnim kampanjama sajber špijunaže. Njene značajne karakteristike obuhvataju:
· Modul „oživljavanja“: Jedinstveni modul koji omogućava napadačima na „ožive“ zaražene mašine. Modul je ugrađen kao priključak unutar instalacija paketa Adobe Reader i Microsoft Office i obezbeđuje napadačima siguran način da povrate pristup ciljnom sistemu, ako je glavno telo štetnog softvera otkriveno i uklonjeno, ili ako je sistem zakrpljen. Kada su C2 serveri ponovo uspostavljeni, napadači šalju specijalizovani dokument (PDF ili Office dokument) na uređaje žrtava putem imejla koji će ponovo aktivirati štetni softver.
· Napredni kriptografski moduli za špijuniranje: Glavni cilj modula za špijuniranje jeste krađa informacija. Ovo obuhvata fajlove iz različitih kriptografskih sistema, kao što su Acid Cryptofiler, za koji je poznato da ga koriste organizacije NATO, Evropska unija, Evropski parlament i Evropska komisija od leta 2011. kako bi osetljive informacije bile zaštićene.
· Mobilni uređaji: Pored ciljanja tradicionalnih radnih stanica, štetni softver je sposoban za krađu podataka iz mobilnih uređaja, kao što su smart telefoni (iPhone, Nokia i Windows Mobile). Štetni softver takođe može ukrasti podatke o konfiguraciji iz mrežne opreme preduzeća kao što su ruteri i prekidači, kao i izbrisane datoteke sa prenosivih diskova.
Identifikacija napadača: Na osnovu registracionih podataka sa C2 servera i brojnih artefakata ostavljenih u izvršnim datotekama štetnog softvera, postoje jaki tehnički dokazi koji pokazuju da napadači dolaze sa ruskog govornog područja. Pored toga, izvršni programi koje koriste napadači bili su nepoznati sve do nedavno, i nisu ih identifikovali stručnjaci kompanije Kaspersky Lab analizirajući dosadašnje sajber špijunske napade.
Kompanija Kaspersky Lab, u saradnji sa međunarodnim organizacijama, agencijama za sprovođenje zakona i timovima Computer Emergency Response Teams (CERT), nastavlja istragu o štetnom softveru Rocra pružajući tehničku ekspertizu i resurse za postupke sanacije i ublažavanja.
Kompanija Kaspersky Lab bi želela da izrazi zahvalnost sledećim timovima: US-CERT, rumunski CERT i beloruski CERT za pruženu pomoć prilikom istrage.
Proizvodi kompanije Kaspersky Lab, klasifikovani kao Backdoor.Win32.Sputnik uspešno detektuju, blokiraju i saniraju Rocra štetni softver.
Da biste pročitali Rocra izveštaj u celosti, posetite Securelist.
O kompaniji Kaspersky Lab
Kaspersky Lab je najveća privatna kompanija koja se bavi proizvodnjom antivirus programa. Kompanija je rangirana među četiri najbolja svetska proizvođača bezbednosnih rešenja za krajnje korisnike*. Tokom svoje petnaestogodišnje istorije, kompanija Kaspersky Lab je ostala inovator u oblasti IT bezbednosti i pruža efektivna digitalna bezbednosna rešenja za potrošače, mala i srednja preduzeća i velike kompanije. Kompanija trenutno posluje u skoro 200 zemalja i teritorija širom sveta, pružajući zaštitu za više od 300 miliona korisnika širom sveta. Saznajte više na veb sajtu www.kaspersky.com.
* Kompanija je ocenjena četvrta u svetu prema oceni kompanije IDC, za prihod od bezbednosnih rešenja za krajnje korisnike, u 2011. godini. Ocena je objavljena u izveštaju kompanije IDC, Worldwide IT Security Products 2012-2016 Forecast i izveštaju 2011 Vendor Shares – u julu 2012. godine. Izveštaj rangira prodavce softvera prema zaradi od prodaje bezbednosnih rešenja krajnjim korisnicima u 2011. godini.
