Το κακό λογισμικό του Οκτώβρη ανακάλυψε μετά από χρόνια κλοπής δεδομένων στο φυσικό περιβάλλον

Μια σκιερή ομάδα hackers έχει εισπράξει δεδομένα μυστικών πληροφοριών παγκοσμίως από δίκτυα υπολογιστών διπλωματικής, κυβερνητικής και επιστημονικής έρευνας για περισσότερα από πέντε χρόνια, συμπεριλαμβανομένων στόχων στις Ηνωμένες Πολιτείες. η Kaspersky Lab άρχισε να ερευνά τις επιθέσεις κακόβουλου λογισμικού τον Οκτώβριο και τις χαρακτήριζε "Rocra", σύντομη για τον "κόκκινο Οκτώβριο". Η Rocra χρησιμοποιεί διάφορα ευπάθειες ασφαλείας σε τύπους αρχείων Microsoft Excel, Word και PDF για να μολύνει Υπολογιστές, smartphones και εξοπλισμό δικτύωσης υπολογιστών. Την Τρίτη οι ερευνητές ανακάλυψαν ότι η πλατφόρμα κακόβουλου λογισμικού χρησιμοποιεί επίσης υποκλοπές Java που βασίζονται στο Web

Δεν είναι ξεκάθαρο ποιος είναι πίσω από τις επιθέσεις, αλλά η Rocra χρησιμοποιεί τουλάχιστον τρία δημόσια γνωστά εκμεταλλεύματα που δημιουργήθηκαν αρχικά από κινέζους χάκερς. Ο προγραμματισμός της Rocra, ωστόσο, φαίνεται να προέρχεται από μια ξεχωριστή ομάδα ρωσόφωνων χειριστών, σύμφωνα με την έκθεση της Kaspersky Lab

[Η περαιτέρω ανάγνωση: Το νέο σας PC χρειάζεται αυτά τα 15 δωρεάν, εξαιρετικά προγράμματα]

Οι επιθέσεις είναι που βρίσκονται σε εξέλιξη και στοχεύουν σε ιδρύματα υψηλού επιπέδου σε ό, τι είναι γνωστό ως επιθέσεις δόρυ-αλιείας. Η Kaspersky εκτιμά ότι οι επιθέσεις του κόκκινου Οκτωβρίου πιθανότατα έλαβαν εκατοντάδες terabytes δεδομένων κατά τη διάρκεια της λειτουργίας της, η οποία θα μπορούσε να είναι ήδη από τον Μάιο του 2007.

Οι λοιμώξεις Rocra ανακαλύφθηκαν σε περισσότερες από 300 χώρες μεταξύ 2011 και 2012, με βάση σε πληροφορίες από τα προϊόντα προστασίας από ιούς της Kaspersky. Οι πληγείσες χώρες ήταν κυρίως πρώην μέλη της ΕΣΣΔ, συμπεριλαμβανομένης της Ρωσίας (35 μολύνσεις), του Καζακστάν (21) και του Αζερμπαϊτζάν (15).

Άλλες χώρες με μεγάλο αριθμό λοιμώξεων περιλαμβάνουν το Βέλγιο (15), την Ινδία Το Αφγανιστάν (10) και η Αρμενία (10). Έξι μολύνσεις αποκαλύφθηκαν σε πρεσβείες που βρίσκονται στις Ηνωμένες Πολιτείες. Επειδή αυτοί οι αριθμοί προέρχονταν μόνο από μηχανήματα που χρησιμοποιούν λογισμικό Kaspersky, ο πραγματικός αριθμός λοιμώξεων θα μπορούσε να είναι πολύ μεγαλύτερος.

Πάρτε όλα

Η Kaspersky είπε ότι το κακόβουλο λογισμικό που χρησιμοποιείται στη Rocra μπορεί να κλέψει δεδομένα από σταθμούς εργασίας PC και smartphones συνδεδεμένα σε Η / iPhone, Nokia και κινητά τηλέφωνα Windows Mobile. Η Rocra μπορεί να αποκτήσει πληροφορίες διαμόρφωσης δικτύου από εξοπλισμό που φέρει το σήμα Cisco και να αρπάξει αρχεία από αφαιρούμενους δίσκους, συμπεριλαμβανομένων των διαγραμμένων δεδομένων.

Η πλατφόρμα κακόβουλου λογισμικού μπορεί επίσης να κλέψει μηνύματα και συνημμένα ηλεκτρονικού ταχυδρομείου, να καταγράψει όλες τις πληκτρολογήσεις ενός μολυσμένου μηχανήματος, και αρπάξτε το ιστορικό περιήγησης από το Chrome, το Firefox, το Internet Explorer και τα προγράμματα περιήγησης Web Opera. Αν και αυτό δεν ήταν αρκετό, η Rocra αρπάζει επίσης τα αρχεία που είναι αποθηκευμένα σε τοπικούς διακομιστές FTP και μπορεί να αναπαραχθεί σε ένα τοπικό δίκτυο.

Par για το μάθημα

Παρόλο που οι δυνατότητες της Rocra φαίνονται εκτεταμένες, εντυπωσιάστηκε από τις μεθόδους επίθεσης της Rocra. "Φαίνεται ότι τα εκμεταλλεύματα που χρησιμοποιήθηκαν δεν προωθήθηκαν με κανέναν τρόπο", ανέφερε η εταιρία ασφάλειας F-Secure στο blog της εταιρείας. "Οι επιτιθέμενοι χρησιμοποίησαν παλιά, πολύ γνωστά προγράμματα Word, Excel και Java. Μέχρι στιγμής, δεν υπάρχει κανένα σημάδι για τη χρήση τρωτών σημείων με μηδενική μέρα. "Η ευαισθησία σε μηδενική ημέρα αναφέρεται σε προηγούμενα άγνωστα εκμεταλλεύματα που ανακαλύφθηκαν στο φυσικό περιβάλλον

Παρά το γεγονός ότι δεν υπονομεύεται από την τεχνική του ικανότητα, η F-Secure λέει ότι οι επιθέσεις Red October είναι ενδιαφέρον λόγω του χρονικού διαστήματος που η Rocra είναι ενεργή και της κλίμακας της κατασκοπείας που έχει αναλάβει μια ενιαία ομάδα. "Ωστόσο," πρόσθεσε ο F-Secure. "Η θλιβερή αλήθεια είναι ότι οι εταιρείες και οι κυβερνήσεις βρίσκονται συνεχώς υπό παρόμοιες επιθέσεις από πολλές διαφορετικές πηγές."

Η Rocra ξεκινά όταν ένα θύμα κατεβάζει και ανοίγει ένα κακόβουλο αρχείο παραγωγικότητας (Excel, Word, PDF) που μπορεί στη συνέχεια να ανακτήσει περισσότερα κακόβουλα προγράμματα από την Rocra's command-and-control servers, μια μέθοδος γνωστή ως Trojan dropper. Αυτός ο δεύτερος κύκλος κακόβουλου λογισμικού περιλαμβάνει προγράμματα που συλλέγουν δεδομένα και αποστέλλουν τις πληροφορίες αυτές στους hackers.

Τα κλεμμένα δεδομένα μπορούν να περιλαμβάνουν καθημερινούς τύπους αρχείων, όπως το απλό κείμενο, το πλούσιο κείμενο, το Word και το Excel, αλλά οι επιθέσεις του κόκκινου Οκτωβρίου έρχονται και μετά κρυπτογραφικά δεδομένα, όπως τα κρυπτογραφημένα αρχεία pgp και gpg.

Επιπλέον, η Rocra ψάχνει για αρχεία που χρησιμοποιούν "Acid Cryptofile" επεκτάσεις, το οποίο είναι κρυπτογραφικό λογισμικό που χρησιμοποιείται από κυβερνήσεις και οργανισμούς συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης και του Οργανισμού του Βορειοατλαντικού Συμφώνου. Δεν είναι σαφές εάν οι άνθρωποι πίσω από την Rocra είναι σε θέση να αποκρυπτογραφήσουν τα κρυπτογραφημένα δεδομένα που λαμβάνουν.

Η αναγέννηση του ηλεκτρονικού ταχυδρομείου

Η Rocra είναι επίσης ιδιαίτερα ανθεκτική στις παρεμβολές από την επιβολή του νόμου, σύμφωνα με την Kaspersky. Αν οι διακομιστές εντολών και ελέγχων της καμπάνιας τερματιστούν, οι χάκερ έχουν σχεδιάσει το σύστημα ώστε να ανακτήσουν τον έλεγχο της πλατφόρμας κακόβουλου λογισμικού με ένα απλό μήνυμα ηλεκτρονικού ταχυδρομείου.

Ένα από τα στοιχεία της Rocra αναζητά κάθε εισερχόμενο έγγραφο PDF ή Office που περιέχει εκτελέσιμο κώδικα και επισημαίνεται με ειδικές ετικέτες μεταδεδομένων. Το έγγραφο θα περάσει όλους τους ελέγχους ασφαλείας, λέει ο Kaspersky, αλλά μόλις το κατεβάσει και ανοίξει, ο Rocra μπορεί να ξεκινήσει μια κακόβουλη εφαρμογή που επισυνάπτεται στο έγγραφο και να συνεχίσει να τροφοδοτεί δεδομένα στους κακούς. Χρησιμοποιώντας αυτό το κόλπο, όλοι οι hackers πρέπει να κάνουν να δημιουργήσουν μερικούς νέους διακομιστές και να διαβιβάσουν ηλεκτρονικά μηνύματα σε προηγούμενα θύματα για να επιστρέψουν στην επιχείρηση.

Οι διακομιστές της Rocra δημιουργούνται ως μια σειρά proxy (servers που κρύβονται πίσω από άλλους διακομιστές), γεγονός που καθιστά πολύ πιο δύσκολο να ανακαλύψετε την πηγή των επιθέσεων. Ο Kasperksy αναφέρει ότι η πολυπλοκότητα της υποδομής της Rocra είναι αντιφατική με εκείνη του κακόβουλου λογισμικού Flame, το οποίο χρησιμοποιήθηκε επίσης για να μολύνει υπολογιστές και να κλέψει ευαίσθητα δεδομένα. Δεν υπάρχει γνωστή σύνδεση μεταξύ Rocra, Flame ή κακόβουλου λογισμικού όπως το Duqu, το οποίο χτίστηκε με κώδικα παρόμοιο με το Stuxnet.

Όπως σημειώνει ο F-Secure, οι επιθέσεις Red October δεν φαίνεται να κάνουν κάτι ιδιαίτερα νέο, αλλά ο χρόνος που έχει αυτή η εκστρατεία κακόβουλου λογισμικού στη φύση είναι εντυπωσιακός. Παρόμοια με άλλες εκστρατείες κατά της κατασκοπείας στον κυβερνοχώρο, όπως η Flame, ο Red October βασίζεται στην εξαπάτηση των χρηστών να κατεβάζουν και να ανοίγουν κακόβουλα αρχεία ή να επισκέπτονται κακόβουλους ιστότοπους στους οποίους μπορεί να εισάγεται κώδικας στις συσκευές τους. Αυτό υποδηλώνει ότι ενώ η κατασκοπεία στον υπολογιστή μπορεί να είναι σε άνοδο, τα βασικά της ασφάλειας υπολογιστών μπορούν να προχωρήσουν σε μεγάλο βαθμό για να αποφευχθούν αυτές οι επιθέσεις.

Λάβετε προφυλάξεις

Χρήσιμες προφυλάξεις όπως η προσοχή σε αρχεία από άγνωστους αποστολείς ή η προσοχή αρχεία που είναι εκτός χαρακτήρα από τον υποτιθέμενο αποστολέα τους είναι μια καλή αρχή. Είναι επίσης χρήσιμο να είστε επιφυλακτικοί όσον αφορά την επίσκεψη ιστότοπων που δεν γνωρίζετε ή δεν εμπιστεύεστε, ειδικά όταν χρησιμοποιείτε εταιρικό εξοπλισμό. Τέλος, βεβαιωθείτε ότι διαθέτετε όλες τις πιο πρόσφατες ενημερώσεις ασφαλείας για την έκδοση των Windows και εξετάστε σοβαρά την απενεργοποίηση της Java, εκτός και αν το χρειάζεστε απολύτως. Μπορεί να μην είστε σε θέση να αποτρέψετε κάθε είδους επιθέσεις, αλλά η τήρηση των βασικών πρακτικών ασφαλείας μπορεί να σας προστατεύσει από πολλούς κακούς ηθοποιοί online.

Η Kaspersky λέει ότι δεν είναι σαφές εάν οι επιθέσεις του κόκκινου Οκτωβρίου είναι έργα ενός κράτους-έθνους ή εγκληματίες που αναζητούν να πωλούν ευαίσθητα δεδομένα στη μαύρη αγορά.

< Κόκκινες επιθέσεις του Οκτωβρίου. Το λογισμικό εντοπισμού ιών της Kaspersky μπορεί επίσης να ανιχνεύσει απειλές από τη Rocra.