Punaisen lokakuun haittaohjelmat, jotka on löydetty vuosien varastamisen jälkeen luonnossa

Häiritsevä ryhmä hakkereita on lähettänyt tiedustelutietoja maailmanlaajuisesti diplomaattisista, hallituksista ja tieteellisistä tutkimusverkkoista yli viiden vuoden ajan, mukaan lukien Yhdysvaltojen tavoitteet, mukaan raportti Kaspersky Labista

Kaspersky Lab alkoi tutkia haittaohjelmien hyökkäyksiä lokakuussa ja kopioi ne "Rocra", lyhyt "Red October". Rocra käyttää useita tietoturva-aukkoja Microsoft Excel-, Word- ja PDF-asiakirjatyypeissä, jotka tartuttavat Tietokoneet, älypuhelimet ja tietokoneverkot.

Ei ole selvää, kuka on hyökkäysten taakse, mutta Rocra käyttää ainakin kolmea julkisesti tunnettua hyökkäystä, jotka alun perin olivat kiinalaisten hakkerien luomia.

[Lue lisää: Uusi tietokoneesi tarvitsee näitä 15 ilmaista, erinomaista ohjelmaa]

Hyökkäykset ovat, että Rocran ohjelmat näyttävät olevan erillisestä ryhmästä venäjänkielisiä operatiivisia toimijoita. jotka ovat käynnissä ja kohdennetaan korkean tason instituutioihin, joita kutsutaan keihäskisataroiksi. Kaspersky arvioi, että punaisen lokakuun hyökkäykset ovat todennäköisesti saaneet satoja teratavuja tietoja, kun se on toiminut, mikä saattaa olla jo toukokuussa 2007.

Rocra-infektiot löydettiin yli 300 maassa vuosien 2011 ja 2012 välillä tietoja Kasperskyn virustentorjuntatuotteista. Toiset maat, joissa on suuri määrä tartuntoja, ovat Belgia (15), Intia (14), Argentiina (14), Kazakstan (21) ja Azerbaidžan (15) Afganistan (10) ja Armenia (10). Kuusi infektiota paljastettiin Yhdysvaltojen suurlähetystöissä. Koska nämä numerot ovat peräisin vain koneista, jotka käyttävät Kaspersky-ohjelmistoa, todelliset infektiot saattavat olla paljon suuremmat.

Ota kaikki

Kaspersky kertoi, että Rocra-laitteessa käytettävät haittaohjelmat voivat varastaa tietoja PC-työasemilta ja älypuhelimille, iPhone, Nokia ja Windows Mobile -puhelimia. Rocra voi hankkia Cisco-merkkisten laitteiden verkkoasetustietoja ja tarttua tiedostoihin siirrettävistä levyasemista, mukaan lukien poistetut tiedot.

Haittaohjelmat voivat myös varastaa sähköpostiviestejä ja liitetiedostoja, tallentaa tartunnan saaneesta koneesta kaikki näppäinpainallukset, ottaa kuvakaappauksia, ja selata selaushistoriaa Chrome-, Firefox-, Internet Explorer- ja Opera-selaimilta. Kuten tämä ei riitä, Rocra tarttuu myös paikallisiin verkkoihin FTP-palvelimiin tallennettuihin tiedostoihin, ja se voi replikoida itsensä paikallisverkossa.

Par kurssille

Vaikka Rocran kyvyt näyttävät laajaalta, eivät kaikki turvallisuuskenttään oli vaikuttunut Rocran hyökkäyksistä. "Näyttää siltä, ​​että käyttämät hyödyt eivät ole millään tavoin edistyneet", F-Securen turvallisuusyhtiö sanoi yhtiön blogissa. "Hyökkääjät käyttivät vanhoja, tunnettuja Word-, Excel- ja Java-hyökkäyksiä. Tähän mennessä ei ole merkkejä nollapäivän haavoittuvuuksista. "Nollapäivän haavoittuvuus viittaa ennennäkemättömiin luonnonvaraisiin löydöksiin.

Vaikka tekninen kapasiteetti ei ole vaikuttanut siihen, F-Secure sanoo punaisen lokakuun iskujen ovat mielenkiintoisia sen vuoksi, että Rocra on toiminut aktiivisesti ja yhden ryhmän harjoittama vakoilun laajuus. "Kuitenkin", F-Secure lisäsi. "Rauhallinen totuus on, että yritykset ja hallitukset joutuvat jatkuvasti samanlaisiin hyökkäyksiin useista eri lähteistä."

Rocra alkaa, kun uhri lataa ja avaa haitallisen tuottavuustiedoston (Excel, Word, PDF), joka voi hakea lisää haittaohjelmia Rocran komento-ja-ohjaus palvelimet, menetelmä tunnetaan troijalainen dropper. Tämä haittaohjelmien toinen kierros sisältää ohjelmia, jotka keräävät tietoja ja lähettävät nämä tiedot takaisin hakkereille.

Varastetut tiedot voivat sisältää arkipäivän tiedostotyyppejä, kuten pelkkää tekstiä, rikkaita tekstiä, Wordia ja Excel-tiedostoja, mutta Red October -rikkomukset käyvät myös kryptografisten tietojen, kuten pgp- ja gpg-salattujen tiedostojen jälkeen.

Lisäksi Rocra etsii tiedostoja, jotka käyttävät "Acid Cryptofile" -laajennukset, joka on salausohjelmisto, jota käyttävät hallitukset ja järjestöt, mukaan lukien Euroopan unioni ja Pohjois-Atlantin liitto. Ei ole selvää, pystyvätkö Rocran taustalla olevat ihmiset dynaamaan kaikki saamansa salatut tiedot.

Sähköposti uudestisyntyminen

Rocra on myös erityisen kestämätön lainvalvonnan häiritsemiseksi Kasperskyn mukaan. Jos kampanjan komentosarjan palvelimet suljettiin, hakkerit ovat suunnitelleet järjestelmää, jotta he voivat jälleen hallita haittaohjelmien alustaa yksinkertaisella sähköpostilla.

Yksi Rocran osista etsii tulevia PDF- tai Office-asiakirjoja joka sisältää suoritustiedon ja on merkitty erityisellä metatietotunnisteella. Asiakirja läpäisee kaikki turvatarkastukset, Kaspersky sanoo, mutta kun se on ladattu ja avattu, Rocra voi aloittaa dokumentille liitetyn haittaohjelman ja jatkaa tietojen syöttämistä roistoille. Käyttämällä tätä temppua kaikki hakkerit joutuvat tekemään joitain uusia palvelimia ja lähettämään haitallisia asiakirjoja aiemmille uhreille päästäkseen takaisin liiketoimintaan.

Rocran palvelimet on muodostettu joukoksi proxioita (palvelimet, jotka piiloutuvat muiden palvelimien takana), minkä vuoksi on paljon vaikeampaa löytää hyökkäysten lähde. Kasperksy kertoo, että Rocran infrastruktuurin monimutkaisuus kilpailisi Flame-haittaohjelmien käytöstä, jota käytettiin myös tietokoneiden tartuttua ja varastamaan arkaluonteisia tietoja. Rocra, Flame tai haittaohjelmat, kuten Duqu, ei ole tunnettua yhteyttä, joka on rakennettu Stuxnetin kaltaiselle koodille.

Kuten F-Securen huomautti, punaisen lokakuun hyökkäykset eivät näytä tekevän mitään aivan uutta, mutta aika, jolloin tämä haittaohjelmakampanja on ollut luonnossa, on vaikuttava. Samalla tavoin kuin muutkin verkkohuijauskampanjat, kuten Flame, Red October tukeutuu käyttäjien vailuun lataamasta ja avaamasta haitallisia tiedostoja tai vierailemalla haittaohjelmia sivustoja, joissa koodia voidaan pistää laitteisiin. Tämä viittaa siihen, että vaikka tietokoneen vakoilu voi olla nousussa, tietoturvan perusteet voivat viedä kauas keinoin näiden hyökkäysten estämiseksi.

Varoita

Hyödyllisiä varotoimia, kuten varoittava tuntemattomien lähettäjien tiedostoista tai vartiointi tiedostoja, jotka ovat luonteeltaan luvatonta lähettäjältä, on hyvä alku. On myös hyödyllistä olla varovaisia ​​käymällä verkkosivustoja, joita et tiedä tai luota, varsinkin kun käytät yrityslaitteita. Varmista lopuksi, että sinulla on kaikki Windowsin uusimmat tietoturvapäivitykset, ja harkitse vakavasti Java-ohjelman poistamista, ellei se ehdottomasti tarvita sitä. Et voi ehkä estää kaikenlaisia ​​hyökkäyksiä, mutta tärkeiden turvallisuuskäytäntöjen noudattaminen voi suojella sinua monilta huonoilta toimijoilta verkossa.

Kaspersky sanoo, ettei ole selvää, jos punaisen lokakuun hyökkäykset ovat kansallisvaltion tai rikollisten työnä myydä arkaluonteisia tietoja mustilla markkinoilla. Turvallisuusyritys aikoo julkaista lisätietoja Rocrasta lähikuukausina.

Jos olet huolissasi siitä, onko jokin järjestelmäsi vaikuttaa Rocraan, F-Secure sanoo, että sen virustorjuntaohjelmisto pystyy havaitsemaan tällä hetkellä tunnetut Punainen lokakuun iskuja. Kasperskyn virustentorjuntaohjelmisto voi myös havaita Rocran uhkia.