Kaspersky Lab a identificat operatiunea “Octombrie Rosu”, o campanie avansata de spionaj cibernetic

Kaspersky Lab a dat azi publicitatii un nou raport de cercetare care identifica o foarte discreta campanie de spionaj vizand tinte din domeniile diplomatic, guvernamental si stiintific din mai multe tari. Activa de aproximativ 5 ani, campania pare sa se fi derulat cu precadere in tari din Europa de Est, statele din zona fostei URSS, precum si state din Asia Centrala. Cu toate acestea, victime ale campaniei au fost identificate si in alte zone, precum Europa de Vest si America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date si documente secrete de la organizatiile afectate, inclusiv informatii de importanta geopolitica, date de acces in retelele securizate sau clasificate si date din dispozitive mobile si echipamente de retea.

O echipa de experti a Kaspersky Lab a lansat o investigatie in octombrie 2012, ca urmare a unei serii de atacuri impotriva unor servicii diplomatice la nivel international. Pe parcursul investigatei a fost descoperita si analizata o ampla retea de spionaj cibernetic. Conform raportului de analiza al Kaspersky Lab, Operatiunea Octombrie Rosu, pe scurt „Rocra,” a avut o activitate sustinuta inca din anul 2007 si este in continuare activa in ianuarie 2013.

Principalele rezultate ale investigatiei

 Reteaua avansata de spionaj cibernetic Octombrie Rosu: Atacatorii au fost activi cel putin din 2007 pana in prezent si s-au concentrat pe agentii diplomatice si guvernamentale din diferite tari, precum si pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare si companii comerciale si din domeniul aerospatial. Atacatorii din reteaua Octombrie Rosu si-au dezvoltat propria platforma de malware, identificata sub numele de ”Rocra”, cu o arhitectura modulara proprie, constand in special in extensii malitioase, module de furt de informatii si troieni.

Informatia furata din retelele infectate a fost deseori folosita pentru a obtine acces la sisteme aditionale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate intr-o lista speciala si utilizate de cate ori atacatorii aveau nevoie sa ghiceasca parole de acces in alte locatii.

Pentru a controla reteaua de calculatoare infectate, atacatorii au creat peste 60 de domenii in diferite tari, in principal in Germania si Rusia. Analiza Kaspersky Lab asupra infrastructurii de comanda si control (C2) a Rocra a aratat ca diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.

Informatia furata din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile ”acid*”, in particular, par a se referi la software-ul clasificat ”Acid Cryptofiler”, folosit de mai multe entitati din Uniunea Europeana si NATO.

Infectarea victimelor

Pentru infectarea sistemelor atactorii au folosit mesaje email de tip ”spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul si a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilitati din Microsoft Word si Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alti dezvoltatori de malware si mai fusesera folosite in timpul atacurilor cibernetice impotriva activistilor tibetani, precum si impotriva unor tinte din sectoarele energetic si militar din Asia. Singura modificare a fost adusa executabilului inserat in document: atacatorii l-au inlocuit cu cod propriu. Interesant de mentionat este ca executabilul modifica in 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaste caracterele chirilice pe respectivul sistem.

Victime si organizatii vizate

Expertii Kaspersky Lab au utilizat doua metode de analiza a potentialelor victime. In primul rand au fost folosite informatiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice si pentru a asigura o protectie avansata sub forma de liste negre (blacklist) si reguli euristice. KSN a detectat exploit-ul folosit de Rocra inca de la inceputul anului 2011, ceea ce a permis expertilor Kaspersky Lab sa caute detectii similare care aveau legatura cu Rocra. In al doilea rand, echipa de investigatori a pus la punct un server de tip ”sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci cand acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit doua metode independente de corelare si confirmare a rezultatelor.

  • Statisticile KSN: cateva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precadere din ambasade, organizatii si retele guvernamentale, consulate si institute de cercetare. Conform datelor KSN, majoritatea infectiilor au fost identificate in primul rand in Europa de Est, dar au fost identificate si in America de Nord si in tari din Europa de Vest, cum sunt Elvetia si Luxemburg.
  • Statisticile Sinkhole: Analiza sinkhole realizata de Kaspersky Lab a avut loc intre 2 noiembrie 2012 – 10 ianuarie 2013. In aceasta perioada s-au inregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de tari. Majoritatea adreselor IP infectate au fost identificate in Elvetia, urmata de Kazahstan si Grecia.

Rocra: arhitectura si functionalitati unice

Atacatorii au creat o platforma de atac multifunctionala, care include mai multe extensii si fisiere malitioase dezvoltate pentru a se adapta rapid la configuratii diferite si pentru a colecta informatii din echipamentele infectate. Platforma Rocra este unica si nu a fost identificata de catre Kaspersky Lab in niciuna dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:

  •  Modulul de “Resuscitare”: Un modul unic, care permite atacatorilor sa ”resusciteze” masinile infectate. Modulul este inserat ca un plug-in in Adobe Reader sau Microsoft Office si pune la dispozitia atacatorilor o cale sigura de a recapata acces la un sistem-tinta, chiar daca principalele module malware sunt descoperite si inlaturate sau daca sistemul este actualizat. Odata ce serverele C2 sunt operationale din nou, atacatorii pot trimite un document (PDF sau Office) prin email si pot reactiva malware-ul.
  • Module de spionaj criptografic: Principalul scop al acestor module este furtul de informatie criptata. Fisierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi

Acid Cryptofiler, cunoscut ca fiind utilizat de organizatii din NATO, Uniunea Europeana, Parlamentul European si Comisia Europeana cu incepere din vara lui 2011, pentru protectia informatiilor secrete.

  • Dispozitive mobile: Pe langa atacarea computerelor traditionale, malware-ul este capabil sa fure informatii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia si Windows Mobile). Malware-ul este, de asemenea, capabil sa fure informatii de configurare de la echipamentele din retea, cum ar fi routere si switch-uri si poate recupera fisiere sterse de pe dispozitivele USB.

Identificarea atacatorilor: Analizand datele de inregistrare a serverelor C2, precum si mai multe artifacte ramase in executabilele malware-ului, exista dovezi tehnice temeinice ca atacatorii sunt de origine dintr-o zona rusofona. In plus, executabilele folosite de atacatori au fost complet necunoscute pana de curand si nu au fost indentificate de expertii Kaspersky Lab in cursul analizelor niciunuia dintre precedentele atacuri de spionaj cibernetic.

Kaspersky Lab, in colaborare cu organizatiile internationale, autoritatile si echipele CERT (Computer Emergency Response Teams), vor continua investigatiile asupra Rocra, punand la dispozitie expertiza tehnica si resursele pentru procedurile de remediere si reducere a riscurilor.

Kaspersky Lab doreste sa multumeasca US-CERT, CERT Romania si CERT Belarus pentru ajutorul acordat in timpul investigatiei.

Rocra este un malware detectat, blocat si remediat cu succes de catre produsele Kaspersky Lab si este clasificat ca Backdoor.Win32.Sputnik.

Cititi raportul complet asupra investigatiei expertilor Kaspersky Lab in privinta Rocra pe blogul www.Securelist.com.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

6 responses to “Kaspersky Lab a identificat operatiunea “Octombrie Rosu”, o campanie avansata de spionaj cibernetic”

  1. tipo

    americanii sunt de vina!!!!!nu conteaza ce se intampla: ca se prabuseste economia, ca se salveaza planeta de invazia extraterestrilor, ca suntem invadati de o rasa necunoscuta de amazoane rele de musca, tot americanii ne vor scoate/afunda din/in “mizerie”.. 🙂

  2. Florinakke

    Fascinant si oripilant in acelasi timp!

    Va dati seama cati carcalaci de care nu stim avem noi in computer?

  3. happyday

    Voi v-ati uitat la harta aia? http://www.securelist.com/en/images/pictures/klblog/208194085.png
    Romania e ca o insula gri intr-o mare rosie. Cei de la SRI sustin ca au contracarat atacurile inca din 2011 si nu au fost afectate decat 4 IP-uri.
    Acum exista 4 variante :
    1.SRI-ul si-a facut treaba, ceea ce e plauzibil, asta fiind una dintre putinele institutii solide din Romania.
    2.Nu prezentam interes nici cat albanezii si nu s-au obosit astia cu atacurile.
    3. Varianta combinata , cea mai apropiata de realitate, SRI-ul si-a facut treaba pentru ca n-a fost prea multa. 🙂
    4. Era prea costisitor sa lanseze si sa mentina atacul cibernetic atata vreme cat, in Romanica, un parlamentar iti ofera orice informatie pe un caltabos si-un vischi. 😀

    1. Malware.analysis

      Da-mi voie sa cred ca multi antivirusi aveau deja semnaturi pt acest malware inainte ca sri sa afle de existenta lui :-D, daca in ro sunt putine cazuri se datoreaza mai repede faptului ca internautilor mioritici le place sa fie tot timpu in pas cu ultimile updateuri de software 😀 decat interventiei celor amintiti de tine

      Daca cei de la K nu croiau o poveste stil james blond, probabil ramanea doar un malware mai exotic, unu din multe altele care circula pe internet.

      1. happyday

        E si asta o varianta. 🙂

  4. mihaivalentindumitru

    SRI,SecInfo,media,stiri,*****:boolean;
    SRI,Sec.Info=false;
    media=false;
    ******:true; // verry true

    Sa fim seriosi.Cati dintre romani sunt interesati de securizarea sistemelor informatice?Cativa…Si nu ca nu ar avea importanta dar una din caracteristicile definitorii ale natiei noastre este ignoranta.
    Despre SRI…Cata incredere poti avea intr-o institutie cu “radacina” plantata in perioada comunista,”tulpina” “dezvoltata” dupa “revolutie” si “varf” putrezit?Putina…
    Despre media…Cata incredere poti avea intr-o institutie ale caror angajati nu sunt in stare sa faca diferenta dintre lamming si hacking,ca sa nu mai vorbim de intoxicarea cu stiri mincinoase generate de interesele politice? ZERO…
    Succesul SRI-ului in batalia impotriva “atacurilor” informatice este direct proportionala cu interesul organizatiilor cyber”criminale” fata de Romania,adica 0.(4 adrese IP,ma intreb cate le-au “scapat”)
    Cand Romania va intra in “zona” de interes a acestor organizatii sa te tii.Chiar daca s-ar intampla acest lucru,SRI-ul va avea grija sa ne asigure ca nu s-a intamplat nimic.Institutia care inca mai foloseste metode empirice in misiunile de “filaj”,vezi “microfonul din cutie” VEGHEAZA.

    Sa fim seriosi…

Leave a Reply