Sajber kriminal: Kasperski razotkrio špijunsku operaciju "Crveni oktobar"

Ova kampanja je pre svega bila usmerena ka zemljama u istočnoj Evropi, bivšim SSSR republikama i zemljama u centralnoj Aziji, iako je žrtve moguće pronaći svuda, obuhvatajući zapadnu Evropu i Severnu Ameriku.

Glavni cilj napadača bio je prikupljanje osetljivih dokumenata iz ugroženih organizacija, među kojima i geopolitičke informacije, poverljive podatke za pristup tajnim računarskim sistemima, kao i podatke iz ličnih mobilnih uređaja i mrežne opreme.

U oktobru 2012. tim stručnjaka kompanije Kaspersky Lab pokrenuo je istragu nakon niza napada na računarske mreže koji su za cilj imali međunarodne diplomatske agencije. Mreža velike sajber špijunaže otkrivena je i analizirana tokom istrage. Prema analitičkom izveštaju kompanije Kaspersky Lab, operacija „Crveni oktobar“ (Red October), skraćeno „Rocra“, još uvek je aktivna od januara 2013, i traje čak od 2007. godine.

Napredna mreža kampanje „Crveni oktobar“:

Napadači su bili aktivni još od 2007. godine i pored istraživačkih institucija, energetskih i nuklearnih kompanija, i ciljeva u trgovini i avio-industriji, bili su usmereni ka diplomatskim i vladinim agencijama iz različitih zemalja širom sveta. Napadači operacije „Crveni oktobar“ osmislili su sopstveni štetni softver, poznat kao „Rocra“, koji ima svoju jedinstvenu modularnu arhitekturu sastavljenu od štetnih ekstenzija, modula za krađu informacija i špijunskih Trojanaca.

Napadači su često koristili informacije ukradene iz zaraženih mreža kako bi ušli u nove sisteme. Na primer, ukradeni poverljivi podaci skupljeni su u listu i korišćeni kada su napadači morali da pogode lozinke ili fraze za pristup drugim sistemima.

Da bi kontrolisali mrežu zaraženih kompjutera, napadači su stvorili više od 60 domenskih imena i nekoliko lokacija za hosting servera u različitim zemljama, većinom u Nemačkoj i Rusiji. Analiza komandne i kontrolne (C2) infrastrukture operacije Rocra, koju je obavila kompanija Kaspersky Lab, pokazuje da je lanac servera zapravo radio kao posrednik u cilju skrivanja lokacije glavnog kontrolnog servera.

Informacije ukradene iz zaraženih sistema obuhvataju dokumente sa ekstenzijama: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Konkretno, ekstenzija „acid*“ izgleda da se odnosi na tajni softver „Acid Cryptofiler“, korišćen od strane više subjekata, od Evropske unije do NATO-a.

(old_image)

Širenje virusa

Kako bi zarazili sisteme, napadači su slali ciljanim žrtvama fišing imejl koji je sadržao prilagođeni program sa virusom Trojan. Da bi instalirao štetni softver i zarazio sistem, štetni imejl je sadržao izvršne kodove nameštene zbog bezbednosnih propusta unutar paketa Microsoft Office i Microsoft Excel. Izvršni kodovi iz dokumenata korišćenih u imejlovima za fišing kreirali su drugi napadači i bili su upotrebljavani tokom drugih sajber napada, obuhvatajući tibetanske aktiviste, kao i vojne i energetske sektore u Aziji. Jedino što su napadači promenili u dokumentu koji je koristio štetni softver Rocra bila je ugrađena izvršna datoteka, koju su napadači zamenili sopstvenim kodom. Naime, jedna od komandi u programu sa virusom Trojan menjala je podrazumevanu sistemsku kodnu stranu komandne sesije u 1251, što je potrebno prilikom korišćenja ćiriličnih fontova.

Ciljane žrtve i organizacije

Stručnjaci kompanije Kaspersky Lab koriste dva metoda analize meta. Pre svega, koristili su statistiku za otkrivanje iz paketa Kaspersky Security Network (KSN), sigurnosnog servisa zasnovanog na cloudu, koji koriste proizvodi kompanije Kaspersky Lab za prijavu telemetrije i pruže naprednu zaštitu od pretnji u obliku crne liste i heurističkih pravila. KSN je još u 2011. otkrivao izvršni kod korišćen u štetnom softveru, što je omogućilo stručnjacima kompanije Kaspersky Lab da potraže slična otkrića u vezi sa operacijom Rocra. Drugi metod koji koristi istraživački tim kompanije Kaspersky Lab jeste stvaranje „sinkhole“ servera kako bi mogli da prate povezivanje zaraženih mašina sa C2 serverima štetnog softvera Rocra. Podaci dobijeni tokom analize uz pomoć oba metoda obezbedili su dva nezavisna načina povezivanja i potvrđivanja njihovih saznanja.

· KSN statistika:

Prema podacima dobijenim iz KSN statistike, otkriveno je nekoliko stotina jedinstvenih inficiranih sistema, sa naglaskom na više ambasada, vladinih mreža i organizacija, naučnih instituta i konzulata. Prema podacima KSN, većina otkrivenih infekcija nalazila se pre svega u istočnoj Evropi, ali su druge infekcije oktrivene u Severnoj Americi i zemljama zapadne Evrope, kao što su Švajcarska i Luksemburg.

· Sinkhole statistika:

Sinkhole analiza kompanije Kaspersky Lab sprovođena je od 2. novembra 2012. do 10. januara 2013. Tokom ovog perioda više od 55.000 konekcija sa 250 zaraženih IP adresa registrovano je u 39 zemalja. Većina zaraženih IP konekcija bila je iz Švajcarske, slede Kazahstan i Grčka.

(old_image)

Štetni softver Rocra: jedinstvena arhitektura i funkcionalnost

Napadači su stvorili multifunkcionalnu platformu za napad koja obuhvata nekoliko ekstenzija i štetnih datoteka namenjenih brzom prilagođavanju konfiguracijama različitih sistema i skupljanju informacija iz zaraženih mašina. Ovu platformu poseduje samo softver Rocra i nije je identifikovala kompanija Kaspersky Lab u prethodnim kampanjama sajber špijunaže. Njene značajne karakteristike obuhvataju:

· Modul „oživljavanja“:
Jedinstveni modul koji omogućava napadačima na „ožive“ zaražene mašine. Modul je ugrađen kao priključak unutar instalacija paketa Adobe Reader i Microsoft Office i obezbeđuje napadačima siguran način da povrate pristup ciljnom sistemu, ako je glavno telo štetnog softvera otkriveno i uklonjeno, ili ako je sistem zakrpljen. Kada su C2 serveri ponovo uspostavljeni, napadači šalju specijalizovani dokument (PDF ili Office dokument) na uređaje žrtava putem imejla koji će ponovo aktivirati štetni softver.

· Napredni kriptografski moduli za špijuniranje:
Glavni cilj modula za špijuniranje jeste krađa informacija. Ovo obuhvata fajlove iz različitih kriptografskih sistema, kao što su Acid Cryptofiler, za koji je poznato da ga koriste organizacije NATO, Evropska unija, Evropski parlament i Evropska komisija od leta 2011. kako bi osetljive informacije bile zaštićene.

· Mobilni uređaji: Pored ciljanja tradicionalnih radnih stanica, štetni softver je sposoban za krađu podataka iz mobilnih uređaja, kao što su smart telefoni (iPhone, Nokia i Windows Mobile). Štetni softver takođe može ukrasti podatke o konfiguraciji iz mrežne opreme preduzeća kao što su ruteri i prekidači, kao i izbrisane datoteke sa prenosivih diskova.

Identifikacija napadača:
Na osnovu registracionih podataka sa C2 servera i brojnih artefakata ostavljenih u izvršnim datotekama štetnog softvera, postoje jaki tehnički dokazi koji pokazuju da napadači dolaze sa ruskog govornog područja. Pored toga, izvršni programi koje koriste napadači bili su nepoznati sve do nedavno, i nisu ih identifikovali stručnjaci kompanije Kaspersky Lab analizirajući dosadašnje sajber špijunske napade.

Da biste pročitali Rocra izveštaj u celosti, posetite Securelist.

(B92)