Црвени октобар - Аурора топови више не пуцају!

Лабораторија Касперски данас је објавила нови извештај који идентификује нови напад сајбер шпијунаже који већ најмање пет година напада дипломатске, владине и научноистраживачке организације широм света. Серија напада првенствено је усмјерена на источноевропске земље, чланице бившег Совјетског Савеза и централне Азије, али инциденти се дешавају свуда, укључујући Западну Европу и Сјеверну Америку.

Нападачи имају за циљ да украду критичне документе од организација, укључујући геополитичке информације, аутентификације потребне за приступ рачунарским системима и личне податке са мобилних уређаја и мрежне опреме.

У октобру 2012. године, стручњаци Касперски Лаб-а покренули су истрагу против серије напада усмерених на компјутерске системе међународних дипломатских организација, током којих су открили велику мрежу сајбер шпијунаже. Према извештају Касперски Лаб-а, операција Црвени октобар, која је скраћено добила назив „Роцра“, и даље је активна, а њен почетак датира из 2007. године.

Главни резултати истраживања:

Црвени октобар је напредна мрежа сајбер шпијунаже: Нападачи су активни најмање од 2007. и првенствено се фокусирају на дипломатске и владине агенције широм света, као и на истраживачке институте, енергетске и нуклеарне групе, као и комерцијалне и ваздухопловне организације. Злочинци Црвеног октобра развили су сопствени малвер, који је Касперски Лаб идентификовао као „Роцра“. Овај злонамерни програм има сопствену, јединствену модуларну структуру са злонамерним екстензијама, модулима специјализованим за крађу података и такозваним „бацкдоор“ тројанцима, који омогућавају неовлашћен приступ систему и на тај начин омогућавају инсталацију додатног малвера и крађу личних података.

Нападачи често користе информације извучене из заражених мрежа за приступ додатним системима. На пример, украдене аутентификације могу дати трагове за лозинке или фразе потребне за приступ додатним системима.

Да би контролисали мрежу заражених машина, нападачи су креирали више од 60 имена домена и неколико серверских хостинг система у различитим земљама, већином у Немачкој и Русији. Анализа Рокрине Ц&Ц (Цомманд & Цонтрол) инфраструктуре показала је да је ланац сервера заправо деловао као прокси да би се сакрила локација „матичног брода“, односно контролног сервера.

Документи који садрже украдене информације из заражених система имају следеће екстензије: ткт, цсв, емл, доц, всд, скв, одт, доцк, ртф, пдф, мдб, клс, ваб, рст, кпс, иау, циф, кеи, црт, цер, хсе, пгп, гпг, киа, киу, кис, кио, киг, ацидцса, ацидсца, ациддск, ацидпвр, ацидппр, ацидсса. Екстензија "ацид" може се односити на софтвер "Ацид Цриптофилер", који користе многе институције од Европске уније до НАТО-а.

Жртве

Да би инфицирали систем, криминалци су жртви слали циљане е-поруке са „спеар-пхисхингом“ са персонализованом тројанском „капаљком“, вирусом који се могао сам размножавати. Да би инсталирала злонамерни софтвер и инфицирала ваш систем, злонамерна е -пошта је садржала подвиге који су искористили рањивости у Мицрософт Оффице -у и Мицрософт Екцел -у. Подвиге у пхисхинг поруци створили су други нападачи и користили током различитих сајбер напада, укључујући тибетанске активисте и војне и енергетске циљеве у Азији. Једина ствар која чини документ који користи Роцра другачијим је уграђена извршна датотека коју су нападачи заменили својим кодом. Важно је напоменути да је једна од команди у тројанском дроперу променила подразумевану системску кодну страницу командне линије у 1251, што је потребно за ћирилични фонт.

Таргетс

Стручњаци компаније Касперски Лаб користили су две методе за анализу циљева. С једне стране, они се заснивају на статистици откривања Касперски Сецурити Нетворк (КСН) сигурносне услуге засноване на облаку, коју производи компаније Касперски Лаб користе за извештавање о телеметрији и пружају напредну заштиту помоћу црних листа и хеуристичких правила. Већ 2011. године, КСН је открио код експлоатације који се користи у злонамерном софтверу, што је покренуло додатни процес праћења у вези са Роцром. Друга метода истраживача била је стварање система под називом „понорница“ за праћење зараженог система који се повезао са Роцра -иним Ц&Ц серверима. Подаци добијени помоћу две различите методе независно су потврдили резултате.

• Статистика КСН -а: КСН је открио стотине јединствених заражених система, од којих већина укључује амбасаде, владине мреже и организације, научно -истраживачке институте и конзулате. Према подацима које је прикупио КСН, већина заражених система потиче из источне Европе, али су инциденти идентификовани и у Северној Америци и западноевропским земљама, Швајцарској и Луксембургу.
• Статистика о рупи: Анализа понорнице компаније Касперски Лаб трајала је од 2012. новембра 2. до 2013. јануара 10. године. За то време је забележено више од 250 веза са 55 заражених ИП адреса у 0000 земаља. Већина заражених ИП веза долази из Швајцарске, Казахстана и Грчке.

Роцра малвер: јединствена структура и функционалност

Нападачи су створили мултифункционалну платформу која укључује бројне екстензије и злонамерне датотеке за једноставно прилагођавање различитим конфигурацијама система и прикупљање интелектуалне вредности са заражених машина. Ова платформа је јединствена за Роцра, Касперски Лаб није видео ништа слично у претходним кампањама сајбер шпијунаже. Његове главне карактеристике су:

• Модул „Ускрснуће“: Овај јединствени модул омогућава нападачима да васкрсну заражене машине. Модул је уграђен као додатак у инсталације Адобе Реадер-а и Мицрософт Оффице-а и пружа безбедни начин за криминалце да поврате приступ циљаном систему ако се открије и уклони главно тело злонамерног софтвера или ако се системске рањивости закрпе. Када Ц&Ц поново функционишу, нападачи шаљу посебну датотеку документа (ПДФ или Оффице) на машину жртве путем е-поште, која поново активира малвер.
• Напредни шпијунски модули: Главна сврха шпијунских модула је крађа информација. Ово укључује датотеке из различитих система за шифровање, попут Ацид Цриптофилер -а, који користе организације као што су НАТО, Европска унија, Европски парламент и Европска комисија.
• Мобилни уређаји: Осим што напада традиционалне радне станице, злонамерни софтвер може украсти и податке са мобилних уређаја попут паметних телефона (иПхоне, Нокиа и Виндовс Мобиле). Осим тога, злонамерни софтвер прикупља податке о конфигурацији из избрисаних датотека са корпоративних мрежних уређаја, као што су рутери, прекидачи и преносиви чврсти дискови.

О нападачима: На основу података о регистрацији сервера Ц&Ц и бројних остатака пронађених у извршним датотекама злонамерног софтвера, снажни технички докази указују на руско порекло нападача. Осим тога, извршне датотеке које су користили криминалци до сада су биле непознате, а стручњаци компаније Касперски Лаб нису их идентификовали у својим претходним анализама сајбер шпијунаже.

Са својом техничком стручношћу и ресурсима, Касперски Лаб ће наставити да истражује Роцра у блиској сарадњи са међународним организацијама, агенцијама за спровођење закона и националним центрима за безбедност мреже.

Касперски Лаб се захваљује УС-ЦЕРТ-у, румунском ЦЕРТ-у и белоруском ЦЕРТ-у на помоћи у истрази.

Производи компаније Касперски Лаб, успешно класификовани као Блоцкдоор.Вин32.Спутник, успешно су откривени, блокирани и враћени.