A “Vörös Október” névre keresztelt kampányban a támadók egyedi, különösen rugalmas rosszindulatú programokat hoznak létre, hogy adatokat és geopolitikai információkat lopjanak a célpontok számítógépes rendszereiről, mobiltelefonjairól és vállalati hálózatukról

 

A Kaspersky Lab nyilvánosságra hozta új jelentését, amelyben egy olyan új kiberkémkedési akciót azonosított, amely diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, legalább öt éve. A támadássorozat elsődlegesen a kelet-európai országokat, a korábbi Szovjetunió tagjait és Közép-Ázsiát célozza, de mindenhol előfordulnak incidensek, beleértve Nyugat-Európát és Észak-Amerikát is. A támadók célja, hogy kritikus dokumentumokat lopjanak a szervezetektől, köztük geopolitikai információkat, számítógépes rendszerek hozzáféréséhez szükséges hitelesítéseket  és személyes adatokat mobil eszközökről és hálózati berendezésekről.

 

2012 októberében a Kaspersky Lab szakértői vizsgálatot indítottak egy nemzetközi diplomáciai szervezetek számítógépes rendszereit célzó támadássorozat ellen amely során egy nagyszabású kiberkémkedési hálózatra derítettek fényt. A Kaspersky Lab jelentése szerint a Vörös Október m?velet, aminek röviden a “Rocra” nevet adták, jelenleg is aktív, kezdete pedig egészen 2007-ig nyúlik vissza.

 

Egy fejlett kiberkémkedési hálózat

 

A támadók legalább 2007 óta aktívak és elsősorban a diplomáciai és kormányzati szervekre összpontosítanak szerte a világon, továbbá a kutatóintézetek, energetikai és nukleáris csoportok, a kereskedelmi és légügyi szervezetek is a célpontok között szerepelnek. A Vörös Október b?nözői saját kártevőt fejlesztettek ki, amit a Kaspersky Lab “Rocra” néven azonosított. Ennek a kártékony programnak saját, egyedi moduláris felépítése van rosszindulatú bővítményekkel, adatlopásra specializált modulokkal és úgynevezett „backdoor” trójaikkal, amik jogosulatlan hozzáférést biztosítanak a rendszerhez és így lehetővé teszik további kártevők telepítését és személyes adatok lopását.

 

 A támadók gyakran használják a fertőzött hálózatokról kinyert információkat további rendszerek eléréséhez. Például a lopott hitelesítések támpontot adhatnak a kiegészítő rendszerek hozzáféréséhez szükséges jelszavakhoz vagy kifejezésekhez.

 

A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 nevet és számos hosting rendszert hoztak létre különböző országokban, legtöbbet közülük Németországban és Oroszországban. A Rocra C&C (Command & Control) infrastruktúrájának elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxy-ként m?ködött, hogy elrejtse az “anyahajót”, vagyis a vezérlő szerver helyét.

 

A fertőzött rendszerek lopott információit tartalmazó dokumentumok a következő kiterjesztéseket tartalmazzák: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Az “acid” kiterjesztés a “Acid Cryptofiler” szoftverre utalhat, amelyeket számos intézmény használ az Európai Uniótól a NATO-ig.

 

Áldozatok

Hogy megfertőzzék a rendszert, a b?nözők célzott „spear-phising”, vagyis lándzsahalász emailt küldtek az áldozatnak, személyre szabott trójai „dropperrel”, vagyis önállóan szaporodni tudó vírussal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony email olyan exploitokat tartalmazott, amely a Microsoft Office és Microsoft Excel biztonsági réseit használta ki. Az adathalász üzenetben lévő exploitokat más támadók hoztak létre és különböző számítógépes támadások alatt alkalmazták őket, beleértve tibeti aktivisták, valamint katonai és energetikai célpontokat Ázsiában. Az egyetlen dolog, amiben a Rocra által használt dokumentum eltér, az a beágyazható futtatható fájl, amit a támadók saját kódjukkal helyettesítettek. Figyelemre méltó, hogy az egyik parancs a Trójai dropperben megváltozatatta a parancssor alapértelmezett rendszer kódlapját 1251-re, ami a Cirill bet?készlethez szükséges.

 

Célpontok

A Kaspersky Lab szakértői két módszert alkalmaztak a célpontok elemzésére. Egyrészről a Kaspersky Security Network (KSN) felhőalapú biztonsági szolgáltatás felderítési statisztikáit vették alapul, amelyet a Kaspersky Lab termékei használnak telemetria jelentésére valamint fejlett védelem biztosítására feketelisták és heurisztikus szabályok segítségével. A KSN már 2011-ben kimutatta a rosszindulatú programban használt exploit kódot, amely elindította a Rocrához kapcsolódó további megfigyelési folyamatot. A kutatók második módszere egy úgynevezett „sinkhole” rendszer létrehozása volt, amellyel nyomon tudták követni azokat a fertőzött rendszeret, amelyek a Rocra C&C szervereihez kapcsolódtak. A két különböző módszerrel kapott adatok egymástól függetlenül megerősítették az eredményeket.

KSN statisztika: A KSN több száz egyedi fertőzött rendszert fedezett fel, a legtöbb nagykövetségeket, kormányzati hálózatokat és szervezeteket, tudományos kutatóintézeteket és konzulátusokat érintett. A KSN által gy?jtött adatok szerint a fertőzött rendszerek többsége Kelet-Európából származott, de azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is.

Sinkhole statisztika: A Kaspersky Lab sinkhole elemzése 2012 november 2-től 2013 január 10-ig tartott. Ez idő alatt 250 fertőzött címtől származó több mint 55 0000 kapcsolatot jegyeztek fel 39 országban. A legtöbb fertőzött IP kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.

 

Rocra malware: egyedülálló felépítés és funkcionalitás

A támadók multifunkciós platformot hoztak létre, amely számos bővítményt és rosszindulatú fájlt tartalmaz, hogy könnyen alkalmazkodjon a különböző rendszerkonfigurációkhoz és szellemi értéket gy?jtsenek a fertőzött gépekről. Ez a platform csak a Rocrára jellemző, a Kaspersky Lab nem tapasztalt hasonlót korábbi kiberkémkedési kampányoknál. Legfontosabb jellemzői a következők:

“Feltámasztó” modul: Ez az egyedi modul lehetővé teszi a támadóknak, hogy feltámasszák a fertőzött gépeket. A modul plug-inként van beágyazva Adobe Reader és Microsoft Office telepítésekbe, és üzembiztos módot biztosít a b?nözőknek, hogy újra elérjék a célzott rendszert abban az esetben, ha a fő malware testet felfedezik és eltávolítják, vagy ha kijavítják a rendszer sérülékenységeit. Miután a C&C -k újra m?ködnek, a támadók speciális dokumentum fájlt (PDF vagy Office) küldenek az áldozatok gépére emailen keresztül, amely újra aktiválja a kártevőt. 

Fejlett kémmodulok: A kémmmodulok fő célja az információlopás. Ez magában foglalja különböző titkosítási rendszerek fájljait, mint például a Acid Cryptofiler, amelyet olyan szervezetek használnak, mint a NATO, az Európai Unió, az Európai Parlament és Európai Bizottság.

Mobil eszközök: A hagyományos munkaállomások támadásán kívül a rosszindulatú program képes adatot lopni a mobil eszközökről is, például okostelefonokról (iPhone, Nokia és Windows Mobile). Ezenfelül a kártevő konfigurációs adatokat is gy?jt vállalati hálózati berendezésektől, mint például routerek, switchek valamint cserélhető merevlemezekről származó törölt fájlok.

 

A támadókról

 

A C&C szerverek regisztrációs adatai és számos, a malware futtatható fájljaiban talált maradványok alapján erős technikai bizonyíték utal a támadók orosz eredetére. Emellett a b?nözők által használt futtatható fájlok ismeretlenek voltak egészen mostanáig, a Kaspersky Lab szakértői nem azonosították korábbi kiberkémkedési elemzéseik során.