LONDRES-A campanha de ciberataques segmentação, organizações governamentais e de pesquisa científico-diplomáticas, principalmente nos antigos países do bloco soviético de cinco anos foi descoberto por uma empresa anti-malware russo.
Com sede em Moscou Kaspersky Lab, disse segunda-feira que havia descoberto uma série contínua de ataques direcionados que remonta pelo menos a 2007, depois de receber uma delação de uma fonte anônima. Os ataques foram feitos usando um pedaço de ...
Atacantes Criado original, altamente flexível Malware para roubar dados e Geopolítica Inteligência de Sistemas de Computação "alvo vítimas, telefones celulares e equipamentos de rede da empresa
Hoje Kaspersky Lab publicou um novo relatório de pesquisa que identificou uma campanha de ciber-espionagem evasivo alvo, organizações de investigação diplomáticas governamentais e científicas em vários países há pelo menos cinco anos. O foco principal desta campanha tem como alvo países da Europa Oriental, ex-repúblicas da URSS e países da Ásia Central, ainda que as vítimas podem ser encontradas em todos os lugares, inclusive na Europa Ocidental e América do Norte. O principal objetivo dos atacantes era recolher documentos sensíveis das organizações comprometidas, que incluíam inteligência geopolítica, as credenciais de acesso a sistemas de computadores classificados, e os dados a partir de dispositivos móveis pessoais e equipamentos de rede.
Em outubro de 2012 a equipe do Kaspersky Lab de especialistas iniciou uma investigação após uma série de ataques contra redes de computadores destinadas agências internacionais de serviços diplomáticos. Uma rede de ciber-espionagem em larga escala foi revelado e analisadas durante a investigação. De acordo com o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, chamado de "Rocra" para breve, ainda está ativo a partir de janeiro de 2013, e tem sido uma campanha sustentada que datam como 2007.
|
Principais Resultados da Pesquisa
Do Outubro Vermelho Rede Avançada Cyber-espionagem : Os atacantes têm atuado pelo menos desde 2007 e têm se concentrado em agências diplomáticas e governamentais de vários países em todo o mundo, além de instituições de pesquisa, energia e grupos nucleares, e as metas comerciais e aeroespacial. Os atacantes Red outubro projetado seu próprio malware, identificado como "Rocra", que tem sua própria arquitetura modular única composta de extensões maliciosas, info-roubo módulos e trojans backdoor.
Os atacantes freqüentemente usado informações exfiltrated de redes infectadas como uma forma de ganhar a entrada em sistemas adicionais. Por exemplo, credenciais roubadas foram compilados em uma lista e usado quando os atacantes necessários para adivinhar senhas ou frases para obter acesso a sistemas adicionais.
Para controlar a rede de máquinas infectadas, os atacantes criaram mais de 60 nomes de domínio e vários locais do servidor de hospedagem em diferentes países, sendo a maioria na Alemanha e na Rússia. Análise da infra-estrutura da Rocra Comando e Controle (C2) da Kaspersky Lab mostra que a cadeia de servidores estava realmente trabalhando como proxies para esconder a localização do servidor de controle da "nave-mãe".
Informações roubado de sistemas infectados inclui documentos com extensões: txt, csv, eml, doc, VSD, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, XPS, iau, CIF, chave, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Em particular, as extensões "ácido *" parece referir-se ao software classificadas "Cryptofiler ácido", que é usado por várias entidades, a partir da União Europeia à NATO.
Infectando Vítimas
Para infectar sistemas dos atacantes enviado um e-mail spear-phishing direcionados a uma vítima que incluía um conta-gotas Trojan personalizado. Para instalar o malware e infectar o sistema do e-mail malicioso incluído exploits que foram manipuladas para vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel. As façanhas dos documentos utilizados nos e-mails de phishing lança foram criados por outros atacantes e empregado em diferentes ataques cibernéticos, incluindo ativistas tibetanos, bem como as metas do setor de energia e militares na Ásia. A única coisa que foi alterado no documento utilizado por Rocra foi o executável incorporado, que os atacantes substituiu-o com seu próprio código. Notavelmente, um dos comandos no conta-gotas Trojan mudou a página de código padrão do sistema do comando prompt de sessão para 1251, que é necessário para renderizar fontes cirílico.
Alvo Vítimas e Organizações
Os especialistas da Kaspersky Lab utilizados dois métodos para analisar as vítimas-alvo. Primeiro, eles usaram estatísticas de detecção da Kaspersky Security Network (KSN), que é o serviço de segurança baseado em nuvem usada por produtos da Kaspersky Lab para relatar telemetria e fornecer proteção avançada contra ameaças na forma de listas negras e regras heurísticas. KSN foi detectar o código de exploração utilizado em que o malware já em 2011, o que permitiu os especialistas da Kaspersky Lab para procurar detecções semelhantes relacionados com Rocra. O segundo método utilizado pela equipe de pesquisadores da Kaspersky Lab foi a criação de um servidor de sumidouro para que eles pudessem monitorar as máquinas infectadas que se conectam a servidores do C2 Rocra. Os dados recebidos durante a análise de ambos os métodos fornecidos duas maneiras independentes de correlacionar e confirmar suas descobertas.
- Estatísticas KSN : Várias centenas de sistemas infectados únicas foram detectadas pelos dados do KSN, com o foco em várias embaixadas, redes governamentais e organizações, institutos de investigação científica e consulados. De acordo com dados do KSN, a maioria das infecções que foram identificados estavam localizados principalmente na Europa Oriental, mas outras infecções também foram identificados na América do Norte e países da Europa Ocidental, como Suíça e Luxemburgo.
- Estatísticas Sinkhole : análise sumidouro da Kaspersky Lab teve lugar de 02 de novembro de 2012 - 10 janeiro de 2013.Durante esse tempo, mais de 55.000 conexões de 250 endereços IP infectados foram registrados em 39 países. A maioria das conexões IP infectados estavam vindo da Suíça, seguida por Cazaquistão e Grécia.
Malwares Rocra: arquitectura única e funcionalidade
Os atacantes criaram uma plataforma de ataque multi-funcional que inclui diversas extensões e arquivos maliciosos projetados para ajustar rapidamente a diferentes configurações dos sistemas e colheita de inteligência de máquinas infectadas. A plataforma é exclusivo para Rocra e não foi identificado pela Kaspersky Lab em campanhas de ciber-espionagem anteriores. Características notáveis incluem:
- Módulo "Ressurreição" : um módulo exclusivo que permite que os atacantes para "ressuscitar" máquinas infectadas. O módulo é incorporado como um plug-in dentro de instalações do Adobe Reader e do Microsoft Office e fornece os atacantes uma maneira infalível para recuperar o acesso a um sistema de destino se o principal órgão de malwares é descoberto e removido, ou se o sistema está atualizado. Uma vez que os C2s estão operacionais novamente os atacantes enviar um arquivo de documento especializada (PDF ou documento do Office) para máquinas das vítimas por meio de e-mail que irá ativar o malware novamente.
- Spy-módulos de criptografia avançadas : O principal objetivo dos módulos de espionagem é roubar informações. Isso inclui arquivos de diferentes sistemas criptográficos, como Cryptofiler ácido , que é conhecido para ser usado em organizações da OTAN, a União Europeia, o Parlamento Europeu ea Comissão Europeia, desde o verão de 2011 para proteger informações confidenciais.
- Dispositivos Móveis : Para além de visar workstations tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile). O malware também é capaz de roubar informações de configuração de equipamentos de rede da empresa, tais como roteadores e switches, bem como arquivos apagados de discos rígidos removíveis.
Identificação Atacante : Com base nos dados cadastrais de servidores C2 e os inúmeros artefatos deixados em arquivos executáveis do malware, há fortes evidências técnico para indicar os atacantes têm origens de língua russa. Além disso, os executáveis usados pelos agressores eram desconhecidos até recentemente, e não foram identificados pelos especialistas da Kaspersky Lab ao analisar os ataques de ciber-espionagem anteriores.
Kaspersky Lab, em colaboração com organizações internacionais, agências de aplicação da lei e Computer Emergency Response Teams (CERT) continua a sua investigação de Rocra, fornecendo conhecimentos e recursos técnicos para os procedimentos de remediação e mitigação.
Kaspersky Lab gostaria de expressar seus agradecimentos a: US-CERT, o romeno CERT eo bielorrusso CERT para a sua assistência com a investigação.
O malware é detectado Rocra sucesso, bloqueado e remediados por produtos da Kaspersky Lab, classificados como Backdoor.Win32.Sputnik.
Nenhum comentário :
Postar um comentário
A verdade é doce, porém doe. A abelha produz mel que é gostoso ao paladar, mas sua picada causa dor.