Activa de aproximativ 5 ani, campania pare sa se fi derulat cu precadere in tari din Europa de Est, statele din zona fostei URSS, precum si state din Asia Centrala. Cu toate acestea, victime ale campaniei au fost identificate si in alte zone, precum Europa de Vest si America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date si documente secrete de la organizatiile afectate, inclusiv informatii de importanta geopolitica, date de acces in retelele securizate sau clasificate si date din dispozitive mobile si echipamente de retea.
O echipa de experti a Kaspersky Lab a lansat o investigatie in octombrie 2012, ca urmare a unei serii de atacuri impotriva unor servicii diplomatice la nivel international. Pe parcursul investigatei a fost descoperita si analizata o ampla retea de spionaj cibernetic. Conform raportului de analiza al Kaspersky Lab, Operatiunea Octombrie Rosu, pe scurt „Rocra,” a avut o activitate sustinuta inca din anul 2007 si este in continuare activa in ianuarie 2013.
Principalele rezultate ale investigatiei
Reteaua avansata de spionaj cibernetic Octombrie Rosu: Atacatorii au fost activi cel putin din 2007 pana in prezent si s-au concentrat pe agentii diplomatice si guvernamentale din diferite tari, precum si pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare si companii comerciale si din domeniul aerospatial. Atacatorii din reteaua Octombrie Rosu si-au dezvoltat propria platforma de malware, identificata sub numele de ”Rocra”, cu o arhitectura modulara proprie, constand in special in extensii malitioase, module de furt de informatii si troieni.
Informatia furata din retelele infectate a fost deseori folosita pentru a obtine acces la sisteme aditionale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate intr-o lista speciala si utilizate de cate ori atacatorii aveau nevoie sa ghiceasca parole de acces in alte locatii.
Pentru a controla reteaua de calculatoare infectate, atacatorii au creat peste 60 de domenii in diferite tari, in principal in Germania si Rusia. Analiza Kaspersky Lab asupra infrastructurii de comanda si control (C2) a Rocra a aratat ca diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informatia furata din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile ”acid*”, in particular, par a se referi la software-ul clasificat ”Acid Cryptofiler”, folosit de mai multe entitati din Uniunea Europeana si NATO.
Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip ”spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul si a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilitati din Microsoft Word si Microsoft Excel.Respectivele exploit-uri au fost identificate ca fiind create de alti dezvoltatori de malware si mai fusesera folosite in timpul atacurilor cibernetice impotriva activistilor tibetani, precum si impotriva unor tinte din sectoarele energetic si militar din Asia. Singura modificare a fost adusa executabilului inserat in document: atacatorii l-au inlocuit cu cod propriu. Interesant de mentionat este ca executabilul modifica in 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaste caracterele chirilice pe respectivul sistem.
Victime si organizatii vizate
Expertii Kaspersky Lab au utilizat doua metode de analiza a potentialelor victime. In primul rand au fost folosite informatiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice si pentru a asigura o protectie avansata sub forma de liste negre (blacklist) si reguli euristice. KSN a detectat exploit-ul folosit de Rocra inca de la inceputul anului 2011, ceea ce a permis expertilor Kaspersky Lab sa caute detectii similare care aveau legatura cu Rocra. In al doilea rand, echipa de investigatori a pus la punct un server de tip ”sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci cand acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit doua metode independente de corelare si confirmare a rezultatelor.
· Statisticile KSN:cateva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precadere din ambasade, organizatii si retele guvernamentale, consulate si institute de cercetare. Conform datelor KSN, majoritatea infectiilor au fost identificate in primul rand in Europa de Est, dar au fost identificate si in America de Nord si in tari din Europa de Vest, cum sunt Elvetia si Luxemburg.
· Statisticile Sinkhole:Analiza sinkhole realizata de Kaspersky Lab a avut loc intre 2 noiembrie 2012 – 10 ianuarie 2013. In aceasta perioada s-au inregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de tari. Majoritatea adreselor IP infectate au fost identificate in Elvetia, urmata de Kazahstan si Grecia.
Rocra: arhitectura si functionalitati unice
Atacatorii au creat o platforma de atac multifunctionala, care include mai multe extensii si fisiere malitioase dezvoltate pentru a se adapta rapid la configuratii diferite si pentru a colecta informatii din echipamentele infectate. Platforma Rocra este unica si nu a fost identificata de catre Kaspersky Lab in niciuna dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:
· Modulul de “Resuscitare”: Un modul unic, care permite atacatorilor sa ”resusciteze” masinile infectate. Modulul este inserat ca un plug-in in Adobe Reader sau Microsoft Office si pune la dispozitia atacatorilor o cale sigura de a recapata acces la un sistem-tinta, chiar daca principalele module malware sunt descoperite si inlaturate sau daca sistemul este actualizat. Odata ce serverele C2 sunt operationale din nou, atacatorii pot trimite un document (PDF sau Office) prin email si pot reactiva malware-ul.
· Module de spionaj criptografic: Principalul scop al acestor module este furtul de informatie criptata. Fisierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi
Acid Cryptofiler, cunoscut ca fiind utilizat de organizatii din NATO, Uniunea Europeana, Parlamentul European si Comisia Europeana cu incepere din vara lui 2011, pentru protectia informatiilor secrete.
· Dispozitive mobile:Pe langa atacarea computerelor traditionale, malware-ul este capabil sa fure informatii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia si Windows Mobile). Malware-ul este, de asemenea, capabil sa fure informatii de configurare de la echipamentele din retea, cum ar fi routere si switch-uri si poate recupera fisiere sterse de pe dispozitivele USB.
Identificarea atacatorilor: Analizand datele de inregistrare a serverelor C2, precum si mai multe artifacte ramase in executabilele malware-ului, exista dovezi tehnice temeinice ca atacatorii sunt de origine dintr-o zona rusofona. In plus, executabilele folosite de atacatori au fost complet necunoscute pana de curand si nu au fost indentificate de expertii Kaspersky Lab in cursul analizelor niciunuia dintre precedentele atacuri de spionaj cibernetic.
Kaspersky Lab, in colaborare cu organizatiile internationale, autoritatile si echipele CERT (Computer Emergency Response Teams), vor continua investigatiile asupra Rocra, punand la dispozitie expertiza tehnica si resursele pentru procedurile de remediere si reducere a riscurilor.
Kaspersky Lab doreste sa multumeasca CERT-Bund/BSI, US-CERT, CERT Romania si CERT Belarus pentru ajutorul acordat in timpul investigatiei.
Rocra este un malware detectat, blocat si remediat cu succes de catre produsele Kaspersky Lab si este clasificat ca Backdoor.Win32.Sputnik.
Cititi raportul complet asupra investigatiei expertilor Kaspersky Lab in privinta Rocra pe blogul www.Securelist.com.
Despre Kaspersky Lab
Kaspersky Lab este cel mai mare producator privat de solutii de securitate endpoint din lume, fiind inclus in topul primilor patru producatori de solutii pentru protectie endpoint la nivel mondial*. Pe parcursul celor 15 ani de existenta, Kaspersky Lab a ramas o companie inovatoare in domeniul securitatii informatice si ofera suite de protectie IT pentru utilizatori individuali, IMM-uri si companii mari. Compania este prezenta in aproximativ 200 de tari si protejeaza peste 300 de milioane de utilizatori din intreaga lume. Pentru mai multe informatii, vizitati www.kaspersky.ro.
* Compania a fost pozitionata pe locul patru in clasamentul IDC „Worldwide Endpoint Security Revenue by Vendor, 2011”. Clasamentul a fost publicat in raportul IDC „Worldwide IT Security Products 2012-2016 Forecast and 2010 Vendor Shares (IDC #235930) – Iulie 2012”. Criteriile de clasificare s-au bazat pe veniturile obtinute din vanzarile de solutii de securitate endpoint in 2011.
