Kaspersky Lab a identificat operatiunea Octombrie Rosu

Kaspersky Lab a dat publicităţii un raport de cercetare, care identifică o foarte discretă campanie de spionaj vizând ţinte din domeniile diplomatic, guvernamental și știinţific, din mai multe ţări. Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în ţări din Europa de Est, statele din zona fostei URSS, precum și state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate și în alte zone, precum Europa de Vest și America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date și documente secrete de la organizaţiile afectate, inclusiv informaţii de importanţă geopolitică, date de acces în reţelele securizate sau secrete, dar şi date din dispozitive mobile și echipamente de reţea.

O echipă de experţi a Kaspersky Lab a lansat o investigaţie în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internaţional. Pe parcursul investigaţei a fost descoperită și analizată o amplă reţea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operaţiunea Octombrie Roșu, pe scurt „Rocra," a avut o activitate susţinută încă din anul 2007 și este în continuare activă în ianuarie 2013.

Principalele rezultate ale investigaţiei

Reţeaua avansată de spionaj cibernetic Octombrie Roșu: Atacatorii au fost activi cel puţin din 2007 până în prezent și s-au concentrat pe agenţii diplomatice și guvernamentale din diferite ţări, precum și pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare și companii comerciale și din domeniul aerospaţial. Atacatorii din reţeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de "Rocra", cu o arhitectură modulară proprie, constând în special în extensii maliţioase, module de furt de informaţii și troieni.

Informaţia furată din reţelele infectate a fost deseori folosită pentru a obţine acces la sisteme adiţionale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate într-o listă specială și utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locaţii.

Pentru a controla reţeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite ţări, în principal în Germania și Rusia. Analiza Kaspersky Lab, asupra infrastructurii de comandă și control (C2) a Rocra, a arătat că diversele servere erau utilizate ca proxy-uri, pentru a ascunde localizarea serverului de control principal.

Informaţia furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile "acid*", în particular, par a se referi la software-ul clasificat "Acid Cryptofiler", folosit de mai multe entităţi din Uniunea Europeană și NATO.

Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip "spear-phishing", care includeau un program special conceput, de livrare a unui troian. Pentru a putea instala malware-ul și a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilităţi din Microsoft Word și Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alţi dezvoltatori de malware și mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiștilor tibetani, precum și împotriva unor ţinte din sectoarele energetic și militar din Asia. Singura modificare a fost adusă executabilului inserat în document: atacatorii l-au înlocuit cu cod propriu. Interesant de menţionat este că executabilul modifică, în 1251, codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaște caracterele chirilice pe respectivul sistem.

Victime și organizaţii vizate

Experţii Kaspersky Lab au utilizat două metode de analiză a potenţialelor victime. În primul rând au fost folosite informaţiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice și pentru a asigura o protecţie avansată sub formă de liste negre (blacklist) și reguli euristice. KSN a detectat exploit-ul folosit de Rocra încă de la începutul anului 2011, ceea ce a permis experţilor Kaspersky Lab să caute detecţii similare care aveau legatură cu Rocra. În al doilea rând, echipa de investigatori a pus la punct un server de tip "sinkhole", cu rolul de a monitoriza activitatea computerelor infectate, atunci când acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit două metode independente de corelare și confirmare a rezultatelor.

• Statisticile KSN: câteva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precădere din ambasade, organizaţii și reţele guvernamentale, consulate și institute de cercetare. Conform datelor KSN, majoritatea infecţiilor au fost identificate în primul rând în Europa de Est, dar au apărut în America de Nord şi în ţări din Europa de Vest, cum sunt Elveţia şi Luxemburg.
• Statisticile Sinkhole: Analiza sinkhole, realizată de Kaspersky Lab, a avut loc între 2 noiembrie 2012 – 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de ţări. Majoritatea adreselor IP infectate au fost identificate în Elveţia, urmată de Kazahstan şi Grecia.

Rocra: arhitectură și funcţionalităţi unice

Atacatorii au creat o platformă de atac multifuncţională, care include mai multe extensii și fișiere maliţioase dezvoltate pentru a se adapta rapid la configuraţii diferite și pentru a colecta informaţii din echipamentele infectate. Platforma Rocra este unică și nu a fost identificată de către Kaspersky Lab în niciuna dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:

• Modulul de "Resuscitare": Un modul unic, care permite atacatorilor să "resusciteze" mașinile infectate. Modulul este inserat ca un plug-in în Adobe Reader sau Microsoft Office și pune la dispoziţia atacatorilor o cale sigură de a recăpăta acces la un sistem-ţintă, chiar dacă principalele module malware sunt descoperite și înlăturate sau dacă sistemul este actualizat. Odată ce serverele C2 sunt operaţionale din nou, atacatorii pot trimite un document (PDF sau Office) prin email și pot reactiva malware-ul.
• Module de spionaj criptografic: Principalul scop al acestor module este furtul de informaţie criptată. Fișierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi
Acid Cryptofiler, cunoscut ca fiind utilizat, din 2011, de organizaţii din NATO, Uniunea Europeană, Parlamentul European și Comisia Europeană, pentru protecţia informaţiilor secrete.
• Dispozitive mobile: Pe lângă atacarea computerelor tradiţionale, malware-ul este capabil să fure informaţii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia și Windows Mobile). Malware-ul este, de asemenea, capabil să fure informaţii de configurare de la echipamentele din reţea, cum ar fi routere și switch-uri și poate recupera fișiere șterse de pe dispozitivele USB.

Identificarea atacatorilor: Analizând datele de înregistrare a serverelor C2, precum și mai multe artifacte rămase în executabilele malware-ului, există dovezi tehnice temeinice că atacatorii sunt de origine dintr-o zonă rusofonă. În plus, executabilele folosite de atacatori au fost complet necunoscute până de curând și nu au fost indentificate de experţii Kaspersky Lab în cursul analizelor niciunuia dintre precedentele atacuri de spionaj cibernetic.

Kaspersky Lab, în colaborare cu organizaţiile internaţionale, autorităţile și echipele CERT (Computer Emergency Response Teams), vor continua investigaţiile asupra Rocra, punând la dispoziţie expertiza tehnică și resursele pentru procedurile de remediere și reducere a riscurilor.

Rocra este un malware detectat, blocat şi remediat cu succes de către produsele Kaspersky Lab şi este clasificat ca Backdoor.Win32.Sputnik.