Piros október malware felfedezett évek óta a lopás adatok vadon

Az árnyékolt hackerek csoportja több mint öt éve szivárogtatta hírszerzési adatait a diplomáciai, a kormányzati és a tudományos kutatói számítógépes hálózatokról, beleértve az Egyesült Államok célpontjait is. Kaspersky Lab

A Kaspersky Lab októberben elkezdte kutatni a rosszindulatú programokat, és "Rocra" -nak nevezte őket. Rocra számos biztonsági rést használ a Microsoft Excel, Word és PDF dokumentumokban, amelyek megfertőződnek Számítógépek, okostelefonok és számítógépes hálózati eszközök. Kedden a kutatók felfedezték, hogy a rosszindulatú program platformja webalapú Java-kihasználásokat is tartalmaz.

Nem világos, hogy ki áll a támadások mögött, de a Rocra legalább három, nyilvánosan ismert, kínai hacker által létrehozott támadást használ. A Rocra programozása azonban úgy tűnik, hogy az orosz nyelvű operatívok egy külön csoportjából áll, a Kaspersky Lab jelentése szerint.

[További olvasmány: Az új PC-nek szüksége van ezekre a 15 ingyenes, kiváló programra]

A támadások folyamatban van, és célzott a magas szintű intézmények, amelyek úgynevezett lándzsás halászat támadások. A Kaspersky úgy becsüli, hogy a piros októberi támadások valószínűleg több száz terabájt adatot szereztek be a működésük idején, ami már 2007 májusában is megtörténhet.

A Rocra fertőzéseket 2011 és 2012 között több mint 300 országban fedezték fel a Kaspersky antivírus termékekről származó információkra. Az érintett országok elsősorban a Szovjetunió volt tagjai, köztük Oroszország (35 fertőzés), Kazahsztán (21) és Azerbajdzsán (15).

A fertőzések nagy száma a belga (15), India (14) Afganisztánban (10) és Örményországban (10). Hat fertőzést fedeztek fel az Egyesült Államokban található nagykövetségeken. Mivel ezek a számok csak a Kaspersky szoftvert használó számítógépekből származnak, a tényleges fertőzöttségek száma jóval magasabb lehet.

Mindent elhárít

A Kaspersky szerint a Rocra által használt kártevők ellophatják az adatok számítógépes számítógépről és okostelefonokról iPhone, Nokia és Windows Mobile készülékek. A Rocra képes hálózati konfigurációs információkat szerezni a Cisco márkájú készülékekről, és megragadhatja a fájlokat a cserélhető lemezmeghajtókról, beleértve a törölt adatokat is.

A malware platform ellophat e-mail üzeneteket és csatolmányokat, rögzítheti a fertőzött gép összes billentyűleütését, és megragadja a böngészési előzményeket a Chrome, a Firefox, az Internet Explorer és az Opera böngészők között. Mintha ez nem volna elég, a Rocra megragadja a helyi hálózati FTP szervereken tárolt fájlokat is, és képes átmásolni magát egy helyi hálózaton keresztül.

Par a kurzushoz

Bár a Rocra képességei széleskörűek, nem mindenki a biztonsági területen a Rocra támadási módszerei lenyűgöztek. "Úgy tűnik, hogy a felhasznált erőforrások semmilyen módon nem fejlődtek" - mondta az F-Secure biztonsági cég a céges blogján. "A támadók régi, jól ismert Word-t, Excel-t és Java-t használtak. Eddig nincs semmiféle nulla napos sebezhetőség. "A nulla napos sebezhetőség a vadonban felfedezett korábban ismeretlen támadásokra utal.

Annak ellenére, hogy technikai kapacitása nem érinti, az F-Secure szerint a Red October támadások érdekesek az Rocra aktivitásának és az egy csoport által végzett kémkedés mértékének köszönhetően. "Mindazonáltal" - tette hozzá F-Secure. "A szomorú igazság az, hogy a vállalatok és a kormányok folyamatosan hasonló rohamok támadnak sok különböző forrásból."

A Rocra elindul, amikor az áldozat letölti és megnyitja a rosszindulatú termelékenységi fájlt (Excel, Word, PDF), parancs-és-vezérlő szerverek, egy módszer ismert trójai cseppentő. A rosszindulatú programok második fordulója olyan programokat tartalmaz, amelyek adatokat gyűjtenek, és ezeket az információkat visszaadják a hackereknek.

A lopott adatok közé tartoznak a hétköznapi fájltípusok, például a sima szöveg, a gazdag szöveg, a Word és az Excel, de a piros októberi támadások szintén titkosított adatok, például pgp és gpg titkosított fájlok után indulnak.

Az "Acid Cryptofile" kiterjesztések, amelyek a kormányok és szervezetek - köztük az Európai Unió és az Észak-atlanti Szerződés Szervezete - által használt kriptográfiai szoftverek. Nem világos, hogy a Rocra mögött álló emberek képesek-e titkosítani a megszerzett titkosítást.

E-mail újjászületés

A Rocra különösen ellenáll a bűnüldözési beavatkozásnak, a Kaspersky szerint. Ha a kampány parancs-és vezérlő szerverei le vannak állítva, a hackerek megtervezték a rendszert, így egyszerûen megkaphatják az ellenõrzésüket malware platformjukon.

Az egyik Rocra komponense minden bejövõ PDF vagy Office dokumentumot keres amely végrehajtható kódot tartalmaz, és speciális metaadatcímkékkel van megjelölve. A dokumentum minden biztonsági ellenőrzésen átesik, a Kaspersky azt mondja, de a letöltés és a megnyitás után a Rocra elindíthatja a dokumentumhoz csatolt rosszindulatú alkalmazást, és továbbra is továbbadja az adatokat a rosszfiúknak. Ennek a trükknek köszönhetően minden hackernek meg kell tennie néhány új kiszolgálót, és el kell küldenie a rosszindulatú dokumentumokat az előző áldozatoknak, hogy visszatérjenek az üzleti életbe.

A Rocra szerverei proxyk sorozata (szerverek rejtve más kiszolgálók mögött), ami sokkal nehezebb felfedezni a támadások forrását. Kasperksy szerint a Rocra infrastruktúrájának bonyolultsága verseng a Flame rosszindulatú szoftverével, amelyet szintén használtak a számítógépek megfertőzésére és az érzékeny adatok ellopására. Nincs ismert kapcsolat a Rocra, a Flame és a rosszindulatú programok között, mint a Duqu, amely Stuxnet-hez hasonló kódra épült.

Az F-Secure megjegyezte, hogy a Red October támadások nem tűnnek semmi újdonságnak, de ez a rosszindulatú kampány ideje vadon lenyűgöző. Hasonlóan a többi internetes kémel kampányhoz, mint a Flame, a Red October arra is támaszkodik, hogy megkísérli a felhasználókat a rosszindulatú fájlok letöltésére és megnyitására, vagy rosszindulatú weboldalak meglátogatására, ahol a kódot be lehet fecskendezni eszközükbe. Ez azt sugallja, hogy míg a számítógépes kémkedés növekszik, a számítógépes biztonság alapjai hosszú utat tehetnek a fenti támadások megelőzésére.

Óvintézkedések

Hasznos óvintézkedések, például az ismeretlen feladóktól származó fájlok figyelmen kívül hagyása vagy a jó kiindulási alapnak számít a fájlok, amelyek nem tartalmazzák az állítólagos feladójukat. Szintén ügyelni kell arra, hogy olyan weboldalakat látogasson el, amelyeket nem ismer vagy bízol, különösen akkor, ha vállalati eszközöket használsz. Végül győződjön meg róla, hogy rendelkezik a Windows verziójával kapcsolatos legújabb biztonsági frissítésekkel, és komolyan fontolja meg a Java kikapcsolását, hacsak nem feltétlenül szüksége van rá. Előfordulhat, hogy nem tudja megakadályozni mindenféle támadást, de az alapvető biztonsági gyakorlatok betartása megvédheti Önt sok rossz internetes szereplőtől.

A Kaspersky szerint nem világos, hogy a vörös októberi támadások nemzetállam vagy bűnöző hogy eladja az érzékeny adatokat a feketepiacon. A biztonsági cég további információkat szeretne közzétenni a Rocra-ról az elkövetkező napokban.

Ha aggódik amiatt, hogy a Rocra hatással van-e bármelyik rendszernek, az F-Secure szerint a víruskereső szoftver képes felismerni a jelenleg ismert Vörös októberi támadások. A Kaspersky víruskereső programja észlelheti a Rocra fenyegetéseit is.