;

Kaspersky Lab: kyberšpionážní kampaň „Red October“

14. 1. 2013
Doba čtení: 5 minut

Sdílet

 Autor: © cienpiesnf - Fotolia.com
Společnost Kaspersky Lab upozornila na malware „Red October“, který se v průběhu nejméně posledních pěti let zaměřoval na diplomatické, vládní a výzkumné organizace.

Špionáž cílila především na východní Evropu, země bývalého Sovětského svazu a Střední Asie, oběti lze ale nalézt po celém světě. Hlavním cílem útočníků byl sběr citlivých dokumentů obsahujících například tajné geopolitické informace, autorizační údaje pro tajné počítačové systémy a údaje z osobních mobilních zařízení a síťových zařízení.

V říjnu 2012 tým odborníků společnosti Kaspersky Lab začal vyšetřovat sérii napadení počítačových sítí zacílených na mezinárodní diplomatické instituce. V rámci tohoto vyšetřování byla odhalena a analyzována rozsáhlá kybernetická špionážní síť. Podle závěrů analýzy Kaspersky Lab je virus „Red October“ (Rudý říjen), či zkráceně „Rocra“, stále aktivní i nyní. Jeho působení lze přitom vystopovat až do roku 2007.

Vedle diplomatických a vládních organizací se kampaň zaměřuje i na výzkumné instituce, energetická a jaderná uskupení, obchodní subjekty či organizace působící v leteckém průmyslu. Útočníci Red October vyvinuli vlastní malware s označením „Rocra“, který má unikátní modulární architekturu sestávající ze škodlivých rozšíření, modulů pro krádeže informací a trojských koní umožňujících vzdálený neautorizovaný přístup k infikovanému systému (backdoor).

Informace potají odcizené z infikovaných sítí útočníci nezřídka využívali k získání přístupu do dalších systémů. Například z ukradených autorizačních údajů byl zkompilován seznam, který byl následně využíván vždy, když útočníci potřebovali zjistit bezpečnostní hesla či fráze nutné ke zpřístupnění dalších systémů.

K řízení sítě infikovaných zařízení útočníci zřídili více než 60 internetových domén a také několik serverů v různých zemích, přičemž většina byla umístěna v Německu a Rusku. Analýza, jíž společnost Kaspersky Lab podrobila řídicí (Command & Control) infrastrukturu malwaru Rocra, zjistila, že tyto propojené servery ve skutečnosti fungovaly jako proxy servery, jejichž úlohou bylo maskovat umístění „mateřského“ řídicího serveru.

Z napadených systémů byly odcizovány informace v souborech s těmito koncovkami: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Zvláštní pozornost zaslouží koncovky „acid*“, které, jak se zdá, souvisí s tajným softwarem „Acid Cryptofiler“, jenž využívá hned několik významných organizací včetně Evropské unie a NATO.

Infikace obětí

Vybrané cíle útočníci infikovali prostřednictvím cílených phishingových e-mailů obsahujících upravený dropper pro infikaci trojským koněm. K instalaci malwaru a infikaci systému tyto škodlivé e-maily používaly exploity využívající zranitelnosti programů Microsoft Office a Microsoft Excel. Exploity použité v těchto cílených phishingových e-mailech byly vytvořeny jinými útočníky a již dříve využity k různým kybernetickým útokům zaměřeným mimo jiné vůči tibetským aktivistům či vojenským cílům a energetickým subjektům v Asii.

V dokumentu použitém Rocrou byl změněn pouze zabudovaný spustitelný soubor, který útočníci nahradili vlastním kódem. Zvláštní pozornost náleží jednomu z příkazů, kterým použitý dropper pozměňoval standardní kódování relace příkazového řádku na 1251, což je podmínka nezbytná pro zobrazování cyrilice.

Cíle útoků

ICTS24

Pro analýzu obětí útoku použila společnost Kaspersky Lab statistiky z cloudové služby Kaspersky Security Network (KSN). Vytvořila také „sinkhole server“, pomocí kterého monitorovala infikované počítače napojené na C2 servery Rocry. Data získaná pomocí obou metod umožnila porovnat a potvrdit zjištěné nálezy.

Pomocí dat z KSN bylo detekováno několik set unikátních infikovaných systemů. Cílem byla především velvyslanectví, vládní sítě a organizace a vědecká pracoviště. Převážná část z nich se nachází ve východní Evropě, ale některá z nich jsou v Severní Americe a v západní Evropě, například ve Švýcarsku nebo Lucembursku. Analýza pomocí sinkhole server probíhala od 2. listopadu 2012 do 10. ledna 2013 a zaznamenala více než 55 000 připojení z 250 infikovaných IP adres ve 39 zemích. Převážná část pocházela ze Švýcarska, Kazachstánu a Řecka.   

Identifikace útočníků

Analýza registračních údajů řídicích serverů a četných artefaktů zanechaných ve spustitelných souborech zkoumaného malwaru potvrzuje, že útočníci pochází z některé z rusky mluvících zemí. Spustitelné soubory použité útočníky byly navíc až donedávna zcela neznámé a nebyly ani identifikovány odborníky Kaspersky Lab při analýzách dřívějších kybernetických špionážních útoků.