Tehnologija
Sada čitate
Kaspersky Lab u lovu na „Crveni oktobar“

Kompanija Kaspersky Lab objavila je 14. januara novi izveštaj u kojem je identifikovana do sada neuhvatljiva kampanja sajber špijunaže koja je skoro pet godina napadala diplomatske, vladine i naučno-istraživačke organizacije iz nekoliko zemalja. Ova kampanja je pre svega bila usmerena ka zemljama istočne Evrope, bivšim SSSR republikama i zemljama u centralnoj Aziji, iako je žrtve moguće pronaći svuda, uključujući zapadnu Evropu i Severnu Ameriku. Glavni cilj napadača bio je prikupljanje osetljivih dokumenata iz ugroženih organizacija, među kojima i geopolitičke informacije, poverljive podatke za pristup tajnim računarskim sistemima, kao i podatke iz ličnih mobilnih uređaja i mrežne opreme.

Operacija "Crveni oktobar"

U oktobru 2012. tim stručnjaka kompanije Kaspersky Lab pokrenuo je istragu nakon niza napada na računarske mreže koji su za cilj imali međunarodne diplomatske agencije. Mreža velike sajber špijunaže otkrivena je i analizirana tokom istrage. Prema analitičkom izveštaju kompanije Kaspersky Lab, operacija „Crveni oktobar“ (Red October, ili skraćeno Rocra), još uvek je aktivna, a traje od 2007. godine.

Glavna istraživačka otkrića

Napadači su bili aktivni još od 2007. godine i pored istraživačkih institucija, energetskih i nuklearnih kompanija, i ciljeva u trgovini i avio-industriji, bili su usmereni ka diplomatskim i vladinim agencijama iz različitih zemalja širom sveta. Napadači operacije „Crveni oktobar“ osmislili su sopstveni štetni softver, poznat kao „Rocra“, koji ima svoju jedinstvenu modularnu arhitekturu sastavljenu od štetnih ekstenzija, modula za krađu informacija i špijunskih trojanaca.

Napadači su često koristili informacije ukradene iz zaraženih mreža kako bi ušli u nove sisteme. Na primer, ukradeni poverljivi podaci skupljeni su u listu i korišćeni kada su napadači morali da pogode lozinke ili fraze za pristup drugim sistemima.

Da bi kontrolisali mrežu zaraženih kompjutera, napadači su stvorili više od 60 domenskih imena i nekoliko lokacija za hosting servera u različitim zemljama, većinom u Nemačkoj i Rusiji. Analiza komandne i kontrolne (C2) infrastrukture operacije Rocra, koju je obavila kompanija Kaspersky Lab, pokazuje da je lanac servera zapravo radio kao posrednik u cilju skrivanja lokacije glavnog kontrolnog servera.

Širenje zlonamernog koda

Informacije ukradene iz zaraženih sistema obuhvataju dokumente sa ekstenzijama: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Konkretno, ekstenzija „acid*“ izgleda da se odnosi na tajni softver „Acid Cryptofiler“, korišćen od strane više subjekata, od Evropske unije do NATO-a.

Širenje virusa

Kako bi zarazili sisteme, napadači su slali ciljanim žrtvama fišing imejl koji je sadržao prilagođeni program sa trojanskim virusom. Da bi instalirao štetni softver i zarazio sistem, štetni imejl je sadržao izvršne kodove nameštene zbog bezbednosnih propusta unutar paketa Microsoft Office i Microsoft Excel. Izvršni kodovi iz dokumenata korišćenih u imejlovima za fišing kreirani su u ranijim sajber napadima protiv tibetanskih aktivista, kao i ciljeva u vojnom i energetskom sektoru u Aziji. Jedino što su napadači promenili za potrebe Rocra bila je ugrađena izvršna datoteka, koju su napadači zamenili sopstvenim kodom. Jedna od komandi u trojancu menjala je podrazumevanu kodnu stranu zaraženog sistema na 1251, što je bilo neophodno da bi se adresirali fajlovi i direktorijumi koji u nazivu sadrže ćirilične karaktere.

Fišing stranica

Ciljane žrtve i organizacije

Stručnjaci kompanije Kaspersky Lab koristili su dve metode za analizu meta. Pre svega, koristili su statistiku za otkrivanje iz paketa Kaspersky Security Network (KSN), sigurnosnog servisa zasnovanog na cloudu, koji koriste proizvodi kompanije Kaspersky Lab za prijavu telemetrije i pružanje napredne zaštite od pretnji u obliku, crne liste i heurističkih pravila. KSN je u 2011. otkrivao izvršni kod korišćen u štetnom softveru, što je omogućilo stručnjacima kompanije Kaspersky Lab da potraže slična otkrića u vezi sa operacijom Rocra. Drugi metod koji koristi istraživački tim jeste stvaranje „sinkhole“ servera kako bi mogli da prate povezivanje zaraženih mašina sa C2 serverima štetnog softvera Rocra. Podaci dobijeni tokom analize uz pomoć obe metode obezbedili su dva nezavisna načina povezivanja i potvrđivanja saznanja.

  • Prema podacima dobijenim iz KSN statistike, otkriveno je nekoliko stotina jedinstvenih inficiranih sistema, sa naglaskom na više ambasada, vladinih mreža i organizacija, naučnih instituta i konzulata. Prema podacima KSN, većina otkrivenih infekcija nalazila se pre svega u istočnoj Evropi, ali su druge infekcije oktrivene u Severnoj Americi i zemljama zapadne Evrope, kao što su Švajcarska i Luksemburg.
  • Sinkhole analiza kompanije Kaspersky Lab sprovođena je od 2. novembra 2012. do 10. januara 2013. Tokom ovog perioda više od 55.000 konekcija sa 250 zaraženih IP adresa registrovano je u 39 zemalja. Većina zaraženih IP konekcija bila je iz Švajcarske, a slede Kazahstan i Grčka.

Rocra: jedinstvena arhitektura i funkcionalnost

Napadači su stvorili multifunkcionalnu platformu za napad koja obuhvata nekoliko ekstenzija i štetnih datoteka namenjenih brzom prilagođavanju konfiguracijama različitih sistema i sakupljanju informacija iz zaraženih mašina. Ovu platformu poseduje samo softver Rocra i kompanija Kaspersky Lab je nije identifikovala u ranijim kampanjama sajber špijunaže. Njene značajne karakteristike obuhvataju:

  • Modul „oživljavanja“: Jedinstveni modul koji omogućava napadačima na „ožive“ zaražene mašine. Modul je ugrađen kao priključak unutar instalacija paketa Adobe Reader i Microsoft Office i obezbeđuje napadačima siguran način da povrate pristup ciljnom sistemu, ako je glavno telo štetnog softvera otkriveno i uklonjeno, ili ako je sistem zakrpljen. Kada su C2 serveri ponovo uspostavljeni, napadači šalju specijalizovani dokument (PDF ili Office dokument) na uređaje žrtava putem imejla koji će ponovo aktivirati štetni softver.
  • Napredni kriptografski moduli za špijuniranje: Glavni cilj modula za špijuniranje jeste krađa informacija. Ovo obuhvata fajlove iz različitih kriptografskih sistema, kao što su Acid Cryptofiler, za koji je poznato da ga koriste organizacije NATO, Evropska unija, Evropski parlament i Evropska komisija od leta 2011. kako bi osetljive informacije bile zaštićene.
  • Mobilni uređaji: Pored ciljanja tradicionalnih radnih stanica, štetni softver je sposoban za krađu podataka iz mobilnih uređaja, kao što su pametni telefoni (iPhone, Nokia i Windows Mobile). Štetni softver takođe može ukrasti podatke o konfiguraciji iz mrežne opreme preduzeća kao što su ruteri i prekidači, kao i izbrisane datoteke sa prenosivih diskova.

Na osnovu registracionih podataka sa C2 servera i brojnih artefakata ostavljenih u izvršnim datotekama štetnog softvera, postoje jaki tehnički dokazi koji pokazuju da napadači dolaze sa ruskog govornog područja. Pored toga, izvršni programi koje koriste napadači bili su nepoznati sve do nedavno, i nisu ih identifikovali stručnjaci kompanije Kaspersky Lab  analizirajući dosadašnje sajber špijunske napade.

„Kompanija Kaspersky Lab, u saradnji sa međunarodnim organizacijama, agencijama za sprovođenje zakona i timovima Computer Emergency Response Teams (CERT), nastavlja istragu o štetnom softveru Rocra pružajući tehničku ekspertizu i resurse za postupke sanacije i ublažavanja,“ navodi se u zaključku saopštenja.

Da biste pročitali Rocra izveštaj u celosti, posetite Securelist.

Izvor: Kaspersky Lab

O autoru
TajmLajn