Kaspersky Lab ha pubblicato un nuovo rapporto di ricerca che ha individuato un inafferrabile campagna di cyber-spionaggio che ha come targeting diplomazia, organizzazioni di ricerca governative e scientifiche in diversi paesi per almeno cinque anni. L'obiettivo principale di questa campagna è rivolta a paesi dell'Europa dell'Est, ex Repubbliche URSS, e paesi in Asia centrale, anche se le vittime possono essere trovate in tutto il mondo, tra cui l'Europa occidentale e il Nord America.
L'obiettivo principale degli aggressori era quello di raccogliere documenti sensibili da parte delle organizzazioni compromesse, tra cui l'intelligenza geopolitica, le credenziali per accedere ai sistemi informatici classificati, e i dati personali da dispositivi mobili e apparecchiature di rete.
A ottobre 2012 il team di esperti di Kaspersky Lab di esperti ha avviato un'inchiesta a seguito di una serie di attacchi contro reti informatiche destinate ad agenzie internazionali di servizio diplomatico. Una attività in larga scala di cyber-spionaggio di rete è stato rivelato e analizzato nel corso dell'inchiesta. Secondo il rapporto di analisi di Kaspersky Lab, l'Operazione Red October (Ottobre Rosso), chiamata "Rocra" in breve, è ancora attiva a gennaio 2013, ed è una campagna che risale fino al 2007.
Principali Research Findings
Ottobre Rosso, cyber-spionaggio di rete avanzato: gli aggressori sono attivi almeno dal 2007 e si sono concentrati sulle agenzie diplomatiche e governative di diversi paesi in tutto il mondo, oltre a istituti di ricerca, gruppi di energia e nucleare, obietivi commerciali e aerospaziali. Gli stessi aggressori di Ottobre Rosso hanno progettato il loro malware, identificato come "Rocra", che ha la sua singolare architettura modulare composta di codice dannoso, moduli info-stealing e Trojan backdoor.
Gli aggressori utilizzano informazioni di frequente exfiltrate dalle reti infette come un modo per entrare nei sistemi aggiuntivi. Ad esempio, le credenziali rubate sono state riportate in un elenco e utilizzato quando gli attaccanti dovevano indovinare le password o frasi di accedere ai sistemi aggiuntivi. Per controllare la rete di computer infetti, gli attaccanti hanno creato più di 60 nomi a dominio e posizionato vari server di hosting in diversi paesi, la maggior parte in Germania e in Russia.
Le analisi di Kaspersky Lab delle infrastrutture di Command & Control di Rocra (C2) dimostrano che la catena di server ha lavorato in realtà come proxy per nascondere la posizione del server di controllo della "mothership". Le informazioni rubate da sistemi infetti includono i documenti con le estensioni: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, chiave, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l'esetnsione "acid" sembra riferirsi al software classificato "
Acid Cryptofiler", che viene utilizzato da diversi enti, dall'Unione Europea alla NATO.
Vittime dell'infezione
Per infettare i sistemi gli attaccanti hanno inviato una e-mail di
spear-phishing mirata a una vittima che ha incluso un Trojan dropper personalizzato. Per installare il malware e infettare il sistema, il messaggio di posta elettronica dannoso include exploit che sono stati costruiti per colpire vulnerabilità di sicurezza all'interno di Microsoft Office e Microsoft Excel [
CVE-2009-3129 (MS Excel),
CVE-2010-3333 (MS Word) e
CVE-2012-0158 (MS Word)].
Gli exploit dei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri attaccanti e impiegati durante attacchi informatici diversi, che includono attivisti tibetani e obiettivi militari e del settore energetico in Asia. L'unica cosa che è stata modificata nel documento utilizzato dal Rocra era l'eseguibile incorporato, che gli attaccanti lo hanno sostituito con il proprio codice. In particolare, uno dei comandi del Trojan dropper ha cambiato la tabella codici di sistema predefinita della sessione di prompt dei comandi a 1251, che è necessario per il rendering dei
caratteri cirillici.
Le vittime e le organizzazioni colpite
Gli esperti di Kaspersky Lab hanno utilizzato due metodi per analizzare le vittime colpite. In primo luogo, hanno usato le statistiche di rilevamento da
Kaspersky Security Network (KSN), il servizio di sicurezza basato su cloud utilizzato dai prodotti Kaspersky Lab per segnalare la telemetria e offrire una protezione avanzata delle minacce sotto forma di
blacklist e le regole
euristiche.
KSN aveva rilevato il codice dell'exploit utilizzato dal malware già nel 2011, che ha consentito agli esperti di Kaspersky Lab di svolgere analoghe rilevazioni inerenti a Rocra. Il secondo metodo utilizzato dal team di ricerca di Kaspersky Lab è stata la creazione di un server sinkhole in modo da poter monitorare i computer infetti che si connettono a server C2 di Rocra. I dati ricevuti durante l'analisi di entrambi i metodi ha fornito due modi indipendenti correlati e confermano le loro scoperte.
•
Statistiche KSN: diverse centinaia di sistemi unici infetti sono stati rilevati dai dati di KSN, con gli obiettivi che erano per lo più ambasciate, reti governative e organizzazioni, istituti di ricerca scientifica e consolati. Secondo i dati KSN, la maggior parte delle infezioni che sono state identificate erano situate essenzialmente in Europa orientale, ma altre infezioni sono state rilevate anche in Nord America e nei paesi dell'Europa occidentale, come la Svizzera e il Lussemburgo.
•
Statistiche Sinkhole: L'analisi sinkhole di Kaspersky Lab ha avuto luogo dal 2 novembre 2012 al 10 gennaio 2013. Durante questo periodo più di 55.000 connessioni da 250 indirizzi IP infetti sono stati registrati in 39 paesi. La maggior parte delle connessioni IP infette provenivano dalla Svizzera, seguita da Kazakistan e Grecia.
Rocra malware: architettura funzionalità uniche
Gli attaccanti hanno creato una piattaforma di attacco multifunzionale che include diverse estensioni e file maligni progettati per adattarsi rapidamente alle configurazioni di diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è unica per Rocra e non è stato identificata da Kaspersky Lab in precedenti campagne di cyber-spionaggio. Le notevoli caratteristiche includono:
•
Modulo "Resurrezione": un modulo unico che consente ai malintenzionati di "resuscitare" le macchine infette. Il modulo è incorporato come
plug-in all'interno di Adobe Reader e le installazioni di Microsoft Office e fornisce agli attaccanti un modo infallibile per riottenere l'accesso a un sistema di destinazione se il corpo del malware principale viene scoperto e rimosso, o se il sistema è patchato. Una volta che i sever C2S sono nuovamente operativi gli attaccanti inviano via e-mail un file specifico (PDF o un documento Office) alle macchine delle vittime, che attiverà il malware nuovamente.
•
Moduli-spia crittografati avanzati: lo scopo principale dei moduli di spionaggio è quello di rubare informazioni. Ciò include i file da sistemi crittografici differenti, come Acid Cryptofiler , che è noto per essere utilizzato in organizzazioni come la
NATO, l'Unione europea, il Parlamento europeo e la Commissione europea a partire dall'estate del 2011 per proteggere le informazioni sensibili.
•
Dispositivi mobile: oltre a colpire postazioni di lavoro tradizionali, il malware è in grado di rubare dati da dispositivi mobile, come smartphone (iPhone, Nokia e Windows Mobile). Il malware è anche in grado di rubare le informazioni di configurazione di dispositivi di rete aziendale, quali router e switch, così come i file cancellati da unità disco rimovibili.
•
Identificazione Attaccante: sulla base dei dati di registrazione dei server C2 e le tracce lasciate in numerosi eseguibili del malware, vi è una forte evidenza tecnica che indica l'origine degli attaccanti di lingua russa. Inoltre, i file eseguibili utilizzati dagli aggressori erano sconosciuti fino a poco tempo, e non sono stati identificati dagli esperti di Kaspersky Lab durante l'analisi dei precedenti attacchi di cyber-spionaggio.
Kaspersky Lab, in collaborazione con le organizzazioni internazionali, le forze dell'ordine e
Computer Emergency Response Team (CERT) continua la sua indagine Rocra offrendo consulenza tecnica e le risorse per le procedure di bonifica e di mitigazione. Kaspersky Lab desidera esprimere il suo ringraziamento a: US-CERT, il CERT rumeno e il CERT bielorusso per la loro assistenza durante l'inchiesta. Il malware Rocra viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come
Backdoor.Win32.Sputnik. Leggete il rapporto completo di ricerca di Rocra dagli esperti di Kaspersky Lab all'indirizzo
http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies
