Kompanija Kaspersky Lab otkrila operaciju "Crveni oktobar", kampanju napredne sajber špijunaže koja za cilj ima diplomatske i vladine institucije širom sveta.
Kompanija Kaspersky Lab objavila je danas novi izveštaj koji je identifikovao neuhvatljivu kampanju sajber špijunaže koja je skoro pet godina napadala diplomatske, vladine i naučno-istraživačke organizacije iz nekoliko zemalja. Ova kampanja je pre svega bila usmerena ka zemljama u istočnoj Evropi, bivšim SSSR republikama i zemljama u centralnoj Aziji, iako je žrtve moguće pronaći svuda, obuhvatajući zapadnu Evropu i Severnu Ameriku. Glavni cilj napadača bio je prikupljanje osetljivih dokumenata iz ugroženih organizacija, među kojima i geopolitičke informacije, poverljive podatke za pristup tajnim računarskim sistemima, kao i podatke iz ličnih mobilnih uređaja i mrežne opreme.
U oktobru 2012. tim stručnjaka kompanije Kaspersky Lab pokrenuo je istragu nakon niza napada na računarske mreže koji su za cilj imali međunarodne diplomatske agencije. Mreža velike sajber špijunaže otkrivena je i analizirana tokom istrage. Prema analitičkom izveštaju kompanije Kaspersky Lab, operacija "Crveni oktobar" (Red October), skraćeno "Rocra", još uvek je aktivna od januara 2013, i traje čak od 2007. godine.
Napadači su bili aktivni još od 2007. godine i pored istraživačkih institucija, energetskih i nuklearnih kompanija, i ciljeva u trgovini i avio-industriji, bili su usmereni ka diplomatskim i vladinim agencijama iz različitih zemalja širom sveta. Napadači operacije „Crveni oktobar“ osmislili su sopstveni štetni softver, poznat kao „Rocra“, koji ima svoju jedinstvenu modularnu arhitekturu sastavljenu od štetnih ekstenzija, modula za krađu informacija i špijunskih Trojanaca.
Napadači su često koristili informacije ukradene iz zaraženih mreža kako bi ušli u nove sisteme. Na primer, ukradeni poverljivi podaci skupljeni su u listu i korišćeni kada su napadači morali da pogode lozinke ili fraze za pristup drugim sistemima.
Da bi kontrolisali mrežu zaraženih kompjutera, napadači su stvorili više od 60 domenskih imena i nekoliko lokacija za hosting servera u različitim zemljama, većinom u Nemačkoj i Rusiji. Analiza komandne i kontrolne (C2) infrastrukture operacije Rocra, koju je obavila kompanija Kaspersky Lab, pokazuje da je lanac servera zapravo radio kao posrednik u cilju skrivanja lokacije glavnog kontrolnog servera.
Informacije ukradene iz zaraženih sistema obuhvataju dokumente sa ekstenzijama: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Konkretno, ekstenzija „acid*“ izgleda da se odnosi na tajni softver "Acid Cryptofiler", korišćen od strane više subjekata, od Evropske unije do NATO-a.
Širenje virusa
Izvršni kodovi iz dokumenata korišćenih u imejlovima za fišing kreirali su drugi napadači i bili su upotrebljavani tokom drugih sajber napada, obuhvatajući tibetanske aktiviste, kao i vojne i energetske sektore u Aziji. Jedino što su napadači promenili u dokumentu koji je koristio štetni softver Rocra bila je ugrađena izvršna datoteka, koju su napadači zamenili sopstvenim kodom. Naime, jedna od komandi u programu sa virusom Trojan menjala je podrazumevanu sistemsku kodnu stranu komandne sesije u 1251, što je potrebno prilikom korišćenja ćiriličnih fontova.
Na osnovu registracionih podataka sa C2 servera i brojnih artefakata ostavljenih u izvršnim datotekama štetnog softvera, postoje jaki tehnički dokazi koji pokazuju da napadači dolaze sa ruskog govornog područja. Pored toga, izvršni programi koje koriste napadači bili su nepoznati sve do nedavno, i nisu ih identifikovali stručnjaci kompanije Kaspersky Lab analizirajući dosadašnje sajber špijunske napade.
Kompanija Kaspersky Lab, u saradnji sa međunarodnim organizacijama, agencijama za sprovođenje zakona i timovima Computer Emergency Response Teams (CERT), nastavlja istragu o štetnom softveru.
(MONDO)
Postanite deo SMARTLIFE zajednice na Viberu.
