Moskva, 14. ledna 2013 ‒ Společnost Kaspersky Lab dnes upozornila na malware „Red October“, který se v průběhu nejméně posledních pěti let zaměřoval na diplomatické, vládní a výzkumné organizace. Špionáž cílila především na východní Evropu, země bývalého Sovětského svazu a Střední Asie, oběti lze ale nalézt po celém světě. Hlavním cílem útočníků byl sběr citlivých dokumentů obsahujících například tajné geopolitické informace, autorizační údaje pro tajné počítačové systémy a údaje z osobních mobilních zařízení a síťových zařízení. (TZ)
V říjnu 2012 tým odborníků společnosti Kaspersky Lab začal vyšetřovat sérii napadení počítačových sítí zacílených na mezinárodní diplomatické instituce. V rámci tohoto vyšetřování byla odhalena a analyzována rozsáhlá kybernetická špionážní síť. Podle závěrů analýzy Kaspersky Lab je virus „Red October“ (Rudý říjen), či zkráceně „Rocra“, stále aktivní i nyní. Jeho působení lze přitom vystopovat až do roku 2007.
Vedle diplomatických a vládních organizací se kampaň zaměřuje i na výzkumné instituce, energetická a jaderná uskupení, obchodní subjekty či organizace působící v leteckém průmyslu. Útočníci Red October vyvinuli vlastní malware s označením „Rocra“, který má unikátní modulární architekturu sestávající ze škodlivých rozšíření, modulů pro krádeže informací a trojských koní umožňujících vzdálený neautorizovaný přístup k infikovanému systému (backdoor).
Informace potají odcizené z infikovaných sítí útočníci nezřídka využívali k získání přístupu do dalších systémů. Například z ukradených autorizačních údajů byl zkompilován seznam, který byl následně využíván vždy, když útočníci potřebovali zjistit bezpečnostní hesla či fráze nutné ke zpřístupnění dalších systémů.
K řízení sítě infikovaných zařízení útočníci zřídili více než 60 internetových domén a také několik serverů v různých zemích, přičemž většina byla umístěna v Německu a Rusku. Analýza, jíž společnost Kaspersky Lab podrobila řídicí (Command & Control) infrastrukturu malwaru Rocra, zjistila, že tyto propojené servery ve skutečnosti fungovaly jako proxy servery, jejichž úlohou bylo maskovat umístění „mateřského“ řídicího serveru.
Z napadených systémů byly odcizovány informace v souborech s těmito koncovkami: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Zvláštní pozornost zaslouží koncovky „acid*“, které, jak se zdá, souvisí s tajným softwarem „Acid Cryptofiler“, jenž využívá hned několik významných organizací včetně Evropské unie a NATO.
Infikace obětí
Vybrané cíle útočníci infikovali prostřednictvím cílených phishingových e-mailů obsahujících upravený dropper pro infikaci trojským koněm. K instalaci malwaru a infikaci systému tyto škodlivé e-maily používaly exploity využívající zranitelnosti programů Microsoft Office a Microsoft Excel. Exploity použité v těchto cílených phishingových e-mailech byly vytvořeny jinými útočníky a již dříve využity k různým kybernetickým útokům zaměřeným mimo jiné vůči tibetským aktivistům či vojenským cílům a energetickým subjektům v Asii. V dokumentu použitém Rocrou byl změněn pouze zabudovaný spustitelný soubor, který útočníci nahradili vlastním kódem. Zvláštní pozornost náleží jednomu z příkazů, kterým použitý dropper pozměňoval standardní kódování relace příkazového řádku na 1251, což je podmínka nezbytná pro zobrazování cyrilice.
Cíle útoků
Pro analýzu obětí útoku použila společnost Kaspersky Lab statistiky z cloudové služby Kaspersky Security Network (KSN). Vytvořila také „sinkhole server“, pomocí kterého monitorovala infikované počítače napojené na C2 servery Rocry. Data získaná pomocí obou metod umožnila porovnat a potvrdit zjištěné nálezy.
Pomocí dat z KSN bylo detekováno několik set unikátních infikovaných systemů. Cílem byla především velvyslanectví, vládní sítě a organizace a vědecká pracoviště. Převážná část z nich se nachází ve východní Evropě, ale některá z nich jsou v Severní Americe a v západní Evropě, například ve Švýcarsku nebo Lucembursku. Analýza pomocí sinkhole server probíhala od 2. listopadu 2012 do 10. ledna 2013 a zaznamenala více než 55 000 připojení z 250 infikovaných IP adres ve 39 zemích. Převážná část pocházela ze Švýcarska, Kazachstánu a Řecka.
Identifikace útočníků
Analýza registračních údajů řídicích serverů a četných artefaktů zanechaných ve spustitelných souborech zkoumaného malwaru potvrzuje, že útočníci pochází z některé z rusky mluvících zemí. Spustitelné soubory použité útočníky byly navíc až donedávna zcela neznámé a nebyly ani identifikovány odborníky Kaspersky Lab při analýzách dřívějších kybernetických špionážních útoků.
Společnost Kaspersky Lab ve spolupráci s mezinárodními organizacemi, policejními orgány a počítačovými bezpečnostními týmy CERT i nadále pokračuje ve vyšetřování operace Rocra, v jehož rámci poskytuje odborné technické znalosti a zdroje.
Společnost Kaspersky Lab děkuje za pomoc při vyšetřování následujícím subjektům: US-CERT, rumunskému týmu CERT a běloruskému týmu CERT. Plné znění výzkumné zprávy odborníků Kaspersky Lab o malwaru Rocra je k dispozici na internetových stránkách Securelist. Malware Rocra úspěšně detekuji a blokují produkty Kaspersky Lab. Klasifikován je pod jménem Backdoor.Win32.Sputnik.
Kompletní tiskovou zprávu v angličtině najdete zde.
O společnosti Kaspersky Lab
Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již 15 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení zákazníkům, malým a středním firmám i velkým podnikům. Aktuálně společnost působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 300 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.com.
*Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2011“. Žebříček vyšel ve zprávě „IDC Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares – December 2011“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2011.