Descoperirea malware-ului roșu din octombrie după ani de furt de date în sălbăticie

Un grup umbros de hackeri a transmis informații de la nivel mondial din rețele de calculatoare diplomatice, guvernamentale și științifice de peste cinci ani, inclusiv ținte în Statele Unite, de la Kaspersky Lab

Kaspersky Lab a început să investigheze atacurile malware în octombrie și le-a numit "Rocra", scurt pentru "Red October." Rocra folosește o serie de vulnerabilități de securitate în tipuri de documente Microsoft Excel, Word și PDF pentru a infecta PC-uri, smartphone-uri și echipamente pentru rețele de calculatoare. Marți, cercetătorii au descoperit că platforma malware utilizează și exploatații Java bazate pe Web.

Nu este clar cine se află în spatele atacurilor, dar Rocra utilizează cel puțin trei exploatații cunoscute inițial de hackerii chinezi. Programele programării lui Rocra, totuși, par a fi de la un grup separat de agenți vorbitori de limbă rusă, potrivit raportului din partea Kaspersky Lab.

[A se citi: Noua dvs. PC are nevoie de aceste 15 programe gratuite, excelente]

în curs de desfășurare și orientate către instituții de nivel înalt, cunoscute sub numele de atacuri de pescuit cu sulițe. Kaspersky estimează că atacurile din octombrie au obținut probabil sute de terabiți de date în momentul în care a fost operațional, care ar putea să apară încă din mai 2007.

Infecțiile Rocra au fost descoperite în mai mult de 300 de țări în perioada 2011-2012 pe informații din produsele antivirus ale Kaspersky. Țările afectate au fost în primul rând foști membri ai URSS, printre care Rusia (35 de infecții), Kazahstan (21) și Azerbaidjan (15). Alte țări cu un număr mare de infecții includ Belgia (15), India Afganistan (10) și Armenia (10). Sase infectii au fost descoperite la ambasadele situate in Statele Unite. Deoarece aceste numere provin numai de la aparate care folosesc software-ul Kaspersky, numărul real de infecții ar putea fi mult mai mare.

Ia tot

Kaspersky a spus că malware-ul folosit în Rocra poate fura date de pe PC-uri și smartphone-uri conectate la PC- telefoane iPhone, Nokia și Windows Mobile. Rocra poate achiziționa informații de configurare a rețelei de la echipamente de marcă Cisco și poate prelua fișiere de pe unități de disc amovibile, inclusiv date șterse.

Platforma malware poate, de asemenea, să fure mesajele și atașamentele e-mail, să înregistreze toate intrările de la o mașină infectată, și prindeți istoricul de navigare din browserele Chrome, Firefox, Internet Explorer și Opera Web. Ca și cum acest lucru nu ar fi fost de ajuns, Rocra captează, de asemenea, fișiere stocate pe servere FTP de rețea locală și se poate replica pe o rețea locală.

Par pentru curs

Chiar dacă capabilitățile lui Rocra apar extinse, a fost impresionat de metodele de atac ale lui Rocra. "Se pare că exploatările utilizate nu au fost avansate în nici un fel", a declarat firma de securitate F-Secure pe blogul companiei. "Atacatorii au folosit vechi, bine-cunoscute exploatații Word, Excel și Java. Pana in prezent, nu exista nici un semn de vulnerabilitati de zero zile fiind folosite. "O vulnerabilitate de zero zile se refera la explozii necunoscute anterior descoperite in salbaticie.

In ciuda faptului ca nu este impresionat de capacitatea sa tehnica, F- sunt interesante din cauza perioadei în care Rocra a fost activă și a amplorii spionajului efectuată de un singur grup. "Cu toate acestea," a adăugat F-Secure. "Adevărul trist este că companiile și guvernele sunt în mod constant supuse atacurilor similare din mai multe surse."

Rocra începe atunci când o victimă descarcă și deschide un fișier productiv malware (Excel, Word, PDF) care poate recupera mai multe programe malware de la Rocra command-and-control, o metodă cunoscută sub numele de dropper troian. Această a doua rundă de programe malware include programe care colectează date și trimit aceste informații înapoi la hackeri.

Datele furate pot include tipuri de fișiere de zi cu zi, cum ar fi text simplu, text îmbogățit, Word și Excel, dar atașamentele de la Red October, de asemenea, merg după datele criptografice, cum ar fi fișierele criptate pgp și gpg.

În plus, Rocra caută fișierele care utilizează Extensiile "Acid Cryptofile", un software criptografic folosit de guverne și organizații, inclusiv Uniunea Europeană și Organizația Tratatului Atlanticului de Nord. Nu este clar dacă oamenii din spatele Rocra sunt capabili să descifreze datele criptate pe care le obțin.

Renasterea prin e-mail

Rocra este, de asemenea, deosebit de rezistentă la interferențe din partea organelor de drept, potrivit Kaspersky. Dacă serverele de comandă și control ale campaniei au fost închise, hackerii au proiectat sistemul pentru a-și recâștiga controlul asupra platformei lor malware cu un e-mail simplu.

Una dintre componentele Rocra caută orice document PDF sau Office care conține cod executabil și este marcat cu etichete de metadate speciale. Documentul va trece toate verificările de securitate, spune Kaspersky, dar odată ce acesta este descărcat și deschis, Rocra poate să înceapă o aplicație rău intenționată atașată documentului și să continue să alimenteze datele celor răi. Folosind acest truc, toti hackerii trebuie sa faca instalarea unor servere noi si trimiterea unor documente malitioase prin e-mail victimelor anterioare pentru a reveni in afaceri.

Serverele Rocra sunt configurate ca o serie de proxy-uri (servere care se ascund in spatele altor servere), ceea ce face mult mai greu de descoperit sursa atacurilor. Kasperksy spune că complexitatea infrastructurii Rocra rivalizează cu cea a malware-ului Flame, care a fost folosit și pentru a infecta calculatoarele și pentru a fura date sensibile. Nu există nicio legătură cunoscută între Rocra, Flame sau malware, cum ar fi Duqu, care a fost construit pe un cod similar cu Stuxnet.

După cum a subliniat F-Secure, atacurile de la Red October nu par să facă ceva deosebit de nou, dar cantitatea de timp în care această campanie malware a fost în sălbăticie este impresionantă. Similar cu alte campanii de spionaj cibernetic, cum ar fi Flame, Red October se bazează pe eliminarea utilizatorilor în descărcarea și deschiderea fișierelor rău intenționate sau în vizitarea site-urilor malware unde codul poate fi injectat pe dispozitivele lor. Acest lucru sugerează că, în timp ce spionajul pe calculator poate fi în creștere, elementele de bază ale securității informatice pot merge mult pentru a preveni aceste atacuri.

Luați precauții

Precauții utile, cum ar fi îngrijorarea fișierelor de la expeditori necunoscuți fișierele care sunt în afara caracterului de la expeditorul lor presupus este un început bun. De asemenea, este util să fiți precaut să vizitați site-uri web pe care nu le cunoașteți sau care aveți încredere, mai ales când utilizați echipamente corporative. În cele din urmă, asigurați-vă că aveți toate cele mai recente actualizări de securitate pentru versiunea dvs. de Windows și luați serios în considerare oprirea Java, dacă nu aveți absolut nevoie de ea. Este posibil să nu puteți preveni orice fel de atacuri, dar respectarea practicilor de securitate de bază vă poate proteja de mulți actori răi online.

Kaspersky afirmă că nu este clar dacă atacurile roșii din octombrie sunt o activitate a unui stat național sau sunt criminali să vândă date sensibile pe piața neagră. Compania de securitate intenționează să lanseze mai multe informații despre Rocra în zilele următoare.

Dacă sunteți preocupat de faptul că vreunul dintre sistemele dvs. este afectat de Rocra, F-Secure spune că software-ul antivirus poate detecta exploatările cunoscute utilizate în prezent Atacurile din octombrie. Software-ul antivirus Kaspersky poate detecta, de asemenea, amenințările de la Rocra.