Valószínűleg orosz a most feltárt globális kiberkémhálózat

A Kaspersky Lab ma nyilvánosságra hozta új jelentését, amelyben egy olyan új kiberkémkedési akciót azonosított, amely diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, legalább öt éve. A támadássorozat elsődlegesen a kelet-európai országokat, a korábbi Szovjetunió tagállamait és Közép-Ázsiát célozza, de mindenhol előfordulnak incidensek, beleértve Nyugat-Európát és Észak-Amerikát is. A támadók célja, hogy kritikus dokumentumokat lopjanak a szervezetektől, köztük geopolitikai információkat, számítógépes rendszerek hozzáféréséhez szükséges hitelesítéseket és személyes adatokat mobil eszközökről és hálózati berendezésekről.

Nemzetközi

A jelentés szerint 2012 októberében a Kaspersky Lab szakértői vizsgálatot indítottak egy nemzetközi diplomáciai szervezetek számítógépes rendszereit célzó támadássorozat miatt, amely során egy nagyszabású kiberkémkedési hálózatra derítettek fényt: a közleményben leírják, hogy a Vörös Október művelet, aminek röviden a „Rocra” nevet adták, jelenleg is aktív, kezdete pedig egészen 2007-ig nyúlik vissza.

A Vörös Október egy fejlett kiberkémkedési hálózat

A támadók legalább 2007 óta aktívak és elsősorban a diplomáciai és kormányzati szervekre összpontosítanak szerte a világon, továbbá a kutatóintézetek, energetikai és nukleáris csoportok, a kereskedelmi és légügyi szervezetek is a célpontok között szerepelnek. A Vörös Október bűnözői saját kártevőt fejlesztettek ki, a Rocrát. Ennek a kártékony programnak saját, egyedi moduláris felépítése van rosszindulatú bővítményekkel, adatlopásra specializált modulokkal és úgynevezett „backdoor” trójaikkal, amik jogosulatlan hozzáférést biztosítanak a rendszerhez és így lehetővé teszik további kártevők telepítését és személyes adatok lopását.

A támadók gyakran használják a fertőzött hálózatokról kinyert információkat további rendszerek eléréséhez. Például a lopott hitelesítések támpontot adhatnak a kiegészítő rendszerek hozzáféréséhez szükséges jelszavakhoz vagy kifejezésekhez.

red october

A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 doménnevet és számos szerverhosztingrendszert hoztak létre különböző országokban, legtöbbet közülük Németországban és Oroszországban. A Rocra C&C (Command & Control) infrastruktúrájának elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxyként működött, hogy elrejtse az „anyahajót”, vagyis a vezérlő szerver helyét.

A fertőzött rendszerek lopott információit tartalmazó dokumentumok a következő kiterjesztéseket tartalmazzák: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Az „acid” kiterjesztés az „Acid Cryptofiler” szoftverre utalhat, amelyeket számos intézmény használ az Európai Uniótól a NATO-ig.

Áldozatok

Hogy megfertőzzék a rendszert, a bűnözők célzott „spear-phising”, vagyis lándzsahalász e-mailt küldtek az áldozatnak, személyre szabott trójai „dropperrel”, a fertőzést telepítő kóddal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony e-mail olyan exploitokat tartalmazott, amely a Microsoft Office és Microsoft Excel biztonsági réseit használta ki. Az adathalász üzenetben lévő exploitokat más támadók hozták létre és különböző számítógépes támadások alatt alkalmazták őket Az egyetlen dolog, amiben a Rocra által használt dokumentum eltér, az a beágyazható futtatható fájl, amit a támadók saját kódjukkal helyettesítettek. Figyelemre méltó, hogy az egyik parancs a Trójai dropperben megváltoztatta a parancssor alapértelmezett rendszer kódlapját 1251-re, ami a cirill betűkészlethez szükséges.

Célpontok

A szakértők két módszert alkalmaztak a célpontok elemzésére. Egyrészről a Kaspersky Security Network (KSN) felhőalapú biztonsági szolgáltatás felderítési statisztikáit vették alapul, amelyet a cég termékei használnak telemetria jelentésére, valamint a fejlett védelem biztosítására feketelisták és heurisztikus szabályok segítségével. A kutatók második módszere egy úgynevezett „sinkhole” rendszer létrehozása volt, amellyel nyomon tudták követni azokat a fertőzött rendszereket, amelyek a Rocra C&C szervereihez kapcsolódtak. A két különböző módszerrel kapott adatok egymástól függetlenül megerősítették az eredményeket.

red october

A KSN több száz egyedi fertőzött rendszert fedezett fel, a legtöbb nagykövetségeket, kormányzati hálózatokat és szervezeteket, tudományos kutatóintézeteket és konzulátusokat érintett. A gyűjtött adatok szerint a fertőzött rendszerek többsége Kelet-Európából származott, de azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is.

A sinkhole-elemzés 2012 november 2-től 2013 január 10-ig tartott. Ez idő alatt 250 fertőzött IP -címtől származó, több mint 55 ezer kapcsolatot jegyeztek fel 39 országban. A legtöbb fertőzött IP-kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.

Egyedülálló felépítés és funkcionalitás

A támadók multifunkciós platformot hoztak létre, amely számos bővítményt és rosszindulatú fájlt tartalmaz, hogy könnyen alkalmazkodjon a különböző rendszerkonfigurációkhoz és szellemi értéket gyűjtsenek a fertőzött gépekről. Ez a platform csak a Rocrára jellemző, a biztonsági cég nem tapasztalt hasonlót korábbi kiberkémkedési kampányoknál. Legfontosabb jellemzői a következők:

  • „Feltámasztó” modul: ez az egyedi modul lehetővé teszi a támadóknak, hogy feltámasszák a fertőzött gépeket. A modul plug-inként van beágyazva Adobe Reader- és Microsoft Office-telepítésekbe, és üzembiztos módot biztosít a bűnözőknek, hogy újra elérjék a célzott rendszert abban az esetben, ha a fő malware-testet felfedezik és eltávolítják, vagy ha kijavítják a rendszer sérülékenységeit. Miután a C&C-k újra működnek, a támadók speciális dokumentumfájlt (pdf vagy Office) küldenek az áldozatok gépére e-mailen keresztül, amely újra aktiválja a kártevőt
  • Fejlett kémmodulok: a kémmodulok fő célja az információlopás. Ez magában foglalja különböző titkosítási rendszerek fájljait, mint például az Acid Cryptofiler, amelyet olyan szervezetek használnak, mint a NATO, az Európai Unió, az Európai Parlament és Európai Bizottság
  • Mobil eszközök: a hagyományos munkaállomások támadásán kívül a rosszindulatú program képes adatot lopni a mobil eszközökről is, például okostelefonokról. Ezen felül a kártevő konfigurációs adatokat is gyűjt vállalati hálózati berendezésektől, mint például routerekről, switchekről, valamint cserélhető merevlemezekről származó törölt fájlok

A támadókról

A C&C szerverek regisztrációs adatai és számos, a malware futtatható fájljaiban talált maradványok alapján erős technikai bizonyíték utal a támadók orosz eredetére. Emellett a bűnözők által használt futtatható fájlok ismeretlenek voltak egészen mostanáig, a Kaspersky Lab szakértői nem azonosították korábbi kiberkémkedési elemzéseik során.

A feltáró cég továbbra is folytatja a Rocra vizsgálatát, szorosan együttműködve nemzetközi szervezetekkel, bűnüldöző szervekkel és Nemzeti Hálózatbiztonsági Központokkal.

Azóta történt

Előzmények