Varnost
14.01.2013 18:13

Deli z drugimi:

Share

Operacija Rdeči oktober: spletno vohunjenje diplomatskih in vladnih institucij po svetu

Klasičen način kraje je t.i. social engineering  - potencialno žrtev se zvabi na okuženo spletno stran ali skuša pretentati, da odpre okuženo priponko v elektronski pošti.
Klasičen način kraje je t.i. social engineering - potencialno žrtev se zvabi na okuženo spletno stran ali skuša pretentati, da odpre okuženo priponko v elektronski pošti.

Kaspersky Lab je objavil novo poročilo raziskave, ki razkriva izmuzljivo kampanjo spletnega vohunjenja, ki vsaj že pet let cilja na diplomatske, vladne in znanstveno raziskovalne organizacije v več državah. Kampanja se primarno osredotoča na države Vzhodne Evrope, nekdanje republike Sovjetske zveze, in države v Srednji Aziji, čeprav lahko žrtve najdemo kjerkoli, tudi v Zahodni Evropi in v Severni Ameriki. Glavni cilj napadalcev je zbiranje občutljivih dokumentov ogroženih organizacij, ki vsebujejo geopolitično inteligenco, dovoljenja za dostop do tajnih računalniških sistemov ter podatke iz osebnih mobilnih naprav in omrežne opreme.

Skupina strokovnjakov iz Kaspersky Laba je v oktobru 2012 začela preiskavo vrste napadov na računalniška omrežja, usmerjenih na mednarodne diplomatske storitvene agencije. Med preiskavo so razkrili in analizirali obsežno spletno vohunsko omrežje. Kot so pri Kaspersky Labu zapisali v poročilu analize, je operacija »Rdeči oktober« (v angleščini na kratko imenovana »Rocra«) v januarju 2013 še zmeraj aktivna in je kot kampanja obstala vse od leta 2007.

Glavne ugotovitve raziskave o »Rdečem oktobru«

Napadalci so bili aktivni vsaj od leta 2007 in so se – poleg raziskovalnih institucij, energetskih in jedrskih skupin ter trgovinskih in vesoljskih dejavnosti – osredotočali na diplomatske in vladne agencije iz različnih držav po vsem svetu. Napadalci iz »Rdečega oktobra« so razvili svojo zlonamerno programsko opremo, znano pod imenom »Rocra«, ki ima svojo edinstveno modularno arhitekturo, sestavljeno iz zlonamernih razširitev, modulov kraje informacij in t.i. backdoor trojanskih konjev.

Napadalci so informacije, pridobljene iz okuženih omrežij, pogosto uporabili kot način vstopa v dodatne sisteme. Ukradena dovoljenja so bila na primer zbrana v obliki seznama in uporabljena takrat, ko so napadalci morali ugibati gesla ali besedne zveze za dostopanje do dodatnih sistemov.

Napadalci so za nadzor omrežja okuženih računalnikov ustvarili več kot 60 domen in več različnih strežnikov z gostovanjem v različnih državah, pri čemer je bila večina teh v Nemčiji in Rusiji. Analiza poveljevalne in nadzorne infrastrukture zlonamernega programa Rocra, ki jo so jo naredili pri Kaspersky Labu, je pokazala, da je veriga strežnikov v resnici delovala kot proxy strežnik, da bi s tem skrili lokacijo skrbniškega glavnega nadzornega strežnika.

Ukradene podatke iz okuženih sistemov so sestavljali dokumenti z razširitvami: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr in acidssa. Zlasti za acid razširitev se zdi, da se sklicuje na tajno programsko opremo Acid Cryptofilter, ki jo uporablja več organizacij, od Evropske unije do Nata.

Okužbe žrtev

Da bi okužili sisteme, so napadalci žrtvam poslali usmerjeno lažno elektronsko pošto, ki je vsebovala prilagojeno pošiljko trojanskega konja. Škodljivo elektronsko sporočilo je z namenom, da bi namestilo zlonamerno programsko opremo in okužilo sistem, izkoristilo tudi varnostne luknje pri varnostni opremi za ranljivosti znotraj Microsoft Offica in Microsoft Excela. Izkoriščanje varnostnih lukenj pri dokumentih, ki so bili uporabljenih v lažnih elektronskih sporočilih, so razvili drugi napadalci. Izvedeli so jih v času drugih spletnih napadov, vključno z tibetanskimi aktivisti ter vojaškimi in energetskimi sektorji v Aziji. Edina sprememba v dokumentu, ki ga je uporabila Rocra, je sprememba vgrajene izvršitve, ki so jo napadalci zamenjali s svojo kodo. Eden od ukazov za namestitev trojanskega konja je prevzeti sistem kodne strani pri ukazni vrstici zasedanja spremenil v 1251, kar je potrebno za omogočanje pisanja v cirilici.

Ciljane žrtve in organizacije

Strokovnjaki iz Kaspersky Laba so za analizo ciljanih žrtev uporabili dve metodi. Naprej so uporabili statistiko zaznavanja Kasperskyjevega varnostnega omrežja (KSN), tj. varnostne storitve računalništva v oblakih, prek katere izdelki Kaspersky Laba poročajo o telemetriji in napredni zaščiti pred nevarnostmi v obliki črnih seznamov in hevrističnih pravil. KSN je kode za izkoriščanje pri zlonamernih programih prepoznaval že v letu 2011, kar je strokovnjakom Kaspersky Laba omogočilo iskanje podobnih zaznav, povezanih z Rocro. Druga metoda, ki jo je uporabila raziskovalna skupina Kaspersky Laba, je bilo ustvarjanje sinkhole strežnika. S tem so lahko spremljali okužene računalnike, ki so bili povezani z Rocrinimi strežniki C2. Podatke, ki so jih pridobili z analizo pri obeh metodah, so pomenili dva načina za povezovanje in potrjevanje njihovih ugotovitev.

  • Statistika KSN: KSN je prepoznal več 100 edinstvenih okuženih sistemov, pri čemer se je osredotočal na več veleposlaništev, vladnih omrežij in organizacij, znanstveno raziskovalnih institucij ter konzulatov. Po podatkih KSN-ja je bila večina okužb odkritih v Vzhodni Evropi, okužbe pa so bile prepoznane tudi v Severni Ameriki in v državah Zahodne Evrope, kot sta Švica in Luksemburg.
  • Statistika »sinkhole«: Kaspersky Labova sinkhole analiza je potekala od 2. novembra 2012 do 10. januarja 2013. V tem času je bilo odkritih več kot 55.000 povezav s 150 okuženih IP naslovov v 39 državah. Večina okuženih IP povezav je prihajala iz Švice, sledila sta Kazahstan in Grčija.

Zlonamernost Rocre: edinstvena arhitektura in funkcionalnost

Napadalci so ustvarili multifunkcionalno platformo napadov, ki jo sestavlja več razširitev in škodljivih datotek, namenjenih hitremu prilagajanju različnih sistemskih konfiguracij in dobri inteligenci zbiranja podatkov na okuženih računalnikih. Ta platforma je za Rocro edinstvena in Kaspersky Lab je v prejšnjih kampanjah spletnega vohunjenja še ni prepoznal. Med pomembne lastnosti spadajo:

  • Modul »vstajenja«: Edinstveni modul, ki napadalcem omogoča ponovno »vstajenje« na okuženih računalnikih. Modul je vgrajen kot priključek znotraj namestitev Adobe Readerja in Microsoft Offica in napadalcem zagotavlja varen način dostopanja do ciljnega sistema v primeru, da je osrednje zlonamerno telo prepoznano ali odstranjeno ali če je sistem zakrpan. Ko C2 postane ponovno operativen, napadalci žrtvi prek elektronske pošte pošljejo specializiran dokument (PDF ali Office dokument), ta pa znova aktivira zlonamerni program.
  • Napredni kriptografski modul vohunjenja: Glavni namen modulov za vohunjenje je kraja podatkov. To vključuje datoteke iz različnih kriptografskih sistemov, kot je Acid Cryptofiler, za katerega je znano, da se od poletja 2011 naprej uporablja v organizacijah Nata, Evropske unije, Evropskega parlamenta in Evropske komisije za varovanje občutljivih informacij.
  • Mobilne naprave: Zlonamerna programska oprema je poleg usmerjenosti na tradicionalne delovne postaje zmožna kraje podatkov iz mobilnih naprav, kot so pametni telefoni (iPhone, Nokia in Windows Mobile). Zlonamerni program je zmožen tudi kraje podatkov o konfiguraciji iz naprav poslovnih omrežij, kot so ruterji, pa tudi izbrisane datoteke z zunanjih diskov.
  • Odkrivanje napadalcev: Na podlagi podatkov registracije na strežnikih C2 in številnih drugih artefaktov, ki so nastali pri izvajanju zlonamernosti, obstaja močan tehničen dokaz, da napadalci izvirajo iz rusko govorečega okolja. Izvedbe, ki so jih uporabili napadalci, so bile do nedavnega še neznane in jih strokovnjaki iz Kaspersky Laba pri analiziranju predhodnih napadov spletnega vohunjenja niso prepoznali.

Celotno raziskovalno poročilo strokovnjakov iz Kaspersky Laba o Rocri lahko preberete na povezavi: Securelist.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

MegaSbajt, Sebastjan Sumina s.p.

Pot za Stan 16, 1351 Brezovica pri Ljubljani, Tel: 041 241 455
MegaSbajt je mlado podjetje, ki je ambiciozno pristopilo k izvajanju računalniških storitev in prodaje na področju informacijske tehnologije. Na podlagi strokovno in hitro izvedenih ... Več
Zlati partner

T-2 d.o.o

Verovškova ulica 64a, 1000 Ljubljana, Tel: 064 064 064
Za podjetja in domove je dostop do interneta v večini primerov bolj pomemben kot njihove druge podporne storitve. Praktično vsa podjetja potrebujejo internetni dostop za vsako delovno ... Več

DEMAR d.o.o.

Gmajna 10, 1236 Trzin, Tel: 05 907 40 61
Drzne rešitve za spletne predstavitve z dušo Obstaja agencija, ki ponuja rešitve za podjetja, organizacije, znamke in posameznike. Za vse, ki pogrešajo sodobnost, kreativnost ... Več
Zlati partner

GS1 Slovenija

Dimičeva ulica 9, 1000 Ljubljana, Tel: +386 1 5898 320
GS1 Slovenija je neodvisna in nepridobitna organizacija na področju mednarodnih standardov GS1 za identifikacijo, zajem in elektronsko izmenjavo podatkov v Sloveniji. Ima preko ... Več