Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kampania "Red October" - zaawansowana operacja cyberszpiegowska obejmująca instytucje dyplomatyczne i agencje rządowe

Tagi:

GReAT (Global Research and Analysis Team), Kaspersky Lab

Wysoce zaawansowana kampania cyberszpiegowska w ciągu ostatnich pięciu lat doprowadziła do infiltracji sieci komputerowych instytucji dyplomatycznych, agencji rządowych i organizacji naukowych, owocując potężnym wyciekiem danych i informacji o urządzeniach mobilnych, systemach komputerowych i urządzeniach sieciowych.

Badacze z Kaspersky Lab spędzili kilka miesięcy na analizie szkodliwego oprogramowania, które skierowane było na specyficzne organizacje głównie w Europie Wschodniej, byłym ZSRR i krajach Azji Środkowej, ale także w Europie Zachodniej i Ameryce Północnej.

Kampania określona jako „Rocra” (skrót od „Red October”, czyli „Czerwony Październik”) jest wciąż aktywnym zagrożeniem, a kradzione dane są nadal wysyłane do wielu aktywnych serwerów kontroli (C&C), dzięki konfiguracji, która w swej złożoności infrastruktury przebija nawet zagrożenie o nazwie Flame [http://www.viruslist.pl/weblog.html?weblogid=792]. Dane rejestracyjne, wykorzystane do zakupu nazw domen C&C, i znaczniki czasowe PE w zgromadzonych próbkach sugerują, że ataki Rocra rozpoczęły się w maju 2007 r.


Mapa ofiar kampanii Red October (kliknij, aby powiększyć)

Niektóre kluczowe wnioski z naszych badań:

  • Napastnicy są aktywni od co najmniej pięciu lat, koncentrując się na agencjach dyplomatycznych i rządowych różnych krajów na całym świecie. Informacje zebrane z zainfekowanych sieci są wykorzystywane w późniejszych atakach. Na przykład, skradzione dane logowania zbierane są w jedną listę i wykorzystywane, gdy napastnicy chcą odgadnąć hasła i poświadczenia sieciowe w innych lokalizacjach / siedzibach danego celu. Aby kontrolować sieć zainfekowanych maszyn, atakujący stworzyli ponad 60 nazw domen i kilka serwerów hostingowych w różnych krajach (głównie w Niemczech i Rosji). Infrastruktura C&C jest w rzeczywistości siecią serwerów pracujących jako proxy i ukrywających położenie prawdziwego „statku matki”, czyli głównego serwera kontroli.
  • Atakujący stworzyli wielofunkcyjną platformę, która może wykorzystywać rozszerzenia funkcji do gromadzenia różnych typów danych. System jest odporny na przejęcie serwera C&C i pozwala atakującemu odzyskać dostęp do zainfekowanych komputerów po skorzystaniu z alternatywnych kanałów komunikacji.
  • Obok tradycyjnych celów ataku (głównie stacje robocze), system jest zdolny do kradzieży danych z urządzeń mobilnych (iPhone, Nokia, Windows Mobile); wykonywania zrzutów konfiguracji sprzętu sieciowego (Cisco); przejmowania plików z dysków wymiennych (łącznie z wykorzystaniem niestandardowej procedury odzyskiwania plików w celu kradzieży danych, które zostały już usunięte); kradzieży pocztowych baz danych z lokalnych repozytoriów Outlooka lub zdalnego serwera POP / IMAP i ściągania plików z serwerów FTP w sieci lokalnej.
  • Zaobserwowaliśmy zastosowanie co najmniej trzech różnych exploitów do wcześniej znanych luk: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) i CVE-2012-0158 (MS Word). Najwcześniejsze znane ataki wykorzystywały exploita dla MS Excel i miały miejsce pomiędzy rokiem 2010 i 2011, natomiast ataki wykorzystując podatność w aplikacji MS Word pojawiły się latem 2012 r.

     

  • Exploity z dokumentów, używanych w akcjach spear phishingowych, zostały stworzone przez innych napastników i były wprowadzone podczas różnych cyberataków przeciwko tybetańskim aktywistom, jak również celom z sektora energetycznego i wojskowego w Azji. Jedyną rzeczą, która uległa zmianie, jest plik wykonywalny, który był osadzony w dokumencie – napastnicy zastąpili go własnym kodem.

    Przykładowy sfałszowany obraz, wykorzystywany w jednym z ataków spear phishingowych podczas kampanii Rocra

     

  • Podczas ruchu poprzecznego w sieci ofiary, napastnicy wdrażali moduł do aktywnego skanowania sieci lokalnej, wynajdywali hosty z podatnością MS08-067 (jest to luka wykorzystywana przez szkodnika Conficker) lub dostępne z poświadczeniami administratora z bazy danych skradzionych haseł. Kolejny moduł wykorzystywał zebrane informacje do infekowania zdalnych hostów w tej samej sieci.
  • Na podstawie danych rejestracyjnych serwerów C&C oraz licznych „pozostałości” w plikach wykonywalnych szkodliwego oprogramowania, jesteśmy przekonani, że napastnicy mają rosyjskojęzyczne korzenie. Obecne ataki i pliki wykonywalne, opracowane przez tych napastników, do niedawna pozostawały nieznane, a sami atakujący nigdy nie byli powiązani z żadnymi innymi atakami cybernetycznymi. Godny podkreślenia jest fakt, że jedna z instrukcji w programie ładującym trojana przed instalacją zmienia stronę kodową infekowanej maszyny na wartość 1251. Jest to konieczne w celu adresowania plików i katalogów, których nazwy zawierają znaki cyrylicy.

FAQ - Rocra

Czym jest Rocra? Skąd się wzięła ta nazwa? Czy operacja Rocra jest wymierzona w określone sektory przemysłu, organizacje, czy rejony geograficzne?

Rocra (skrót od „Red October” - „Czerwony Październik”) jest ukierunkowaną i agresywną kampanią, która trwa już od co najmniej pięciu lat. Podczas tej kampanii zainfekowane zostały setki ofiar na całym świecie w siedmiu głównych kategoriach:

  1. Rząd
  2. Placówki dyplomatyczne / ambasady
  3. Instytucje badawcze
  4. Handel i rzemiosło
  5. Badania nad energią jądrową
  6. Firmy naftowe i gazowe
  7. Przestrzeń powietrzna

Jest całkiem możliwe, że istnieją inne sektory docelowe, które nie zostały jeszcze ujawnione, ale zostały zaatakowane w przeszłości.

Jak i kiedy kampania została odkryta?

Ataki Rocra zaczęliśmy badać w październiku 2012 roku, na prośbę jednego z naszych partnerów. Analizując ataki, akcje spear phishingowe i moduły szkodliwego oprogramowania, zrozumieliśmy skalę tej kampanii i zaczęliśmy analizować ją bardziej dogłębnie.

Kto dostarczał wam próbki?

Nasz partner, który pierwotnie wskazał nam próbki tego szkodnika, woli pozostać anonimowy.

Ile zainfekowanych komputerów zostało zidentyfikowanych przez Kaspersky Lab? Jaka jest całkowita liczba ofiar? Jaka jest szacowana wielkość operacji Czerwony Październik w skali globalnej?

W ciągu ostatnich miesięcy naliczyliśmy kilkaset zakażeń na całym świecie – wszystkie z nich miały miejsce w bardzo ważnych lokalizacjach, takich jak sieci rządowe i instytucje dyplomatyczne. Infekcje, które zidentyfikowaliśmy rozprzestrzeniały się głównie w Europie Wschodniej, ale są również doniesienia pochodzące z Ameryki Północnej i krajów Europy Zachodniej, takich jak Szwajcaria czy Luksemburg.

W oparciu o naszą sieć Kaspersky Security Network (KSN) podajemy listę krajów z największą liczbą infekcji (tylko miejsca, gdzie zarejestrowaliśmy więcej niż 5 ofiar):

Kraj Liczba infekcji
ROSJA 38
KAZACHSTAN 21
BELGIA 16
AZERBEJDŻAN 15
INDIE 14
AFGANISTAN 10
ARMENIA 10
TURKMENISTAN 9
IRAN 7
UKRAINA 6
STANY ZJEDNOCZONE 6
WIETNAM 6
BIAŁORUŚ 5
GRECJA 5
WŁOCHY 5
MAROKO 5
PAKISTAN 5
SZWAJCARIA 5

Informacje na temat statystyk pochodzących z leja znajdują się poniżej.

Kto stoi za tą operacją? Czy jest to atak sponsorowany przez rząd?

Informacje, które zebraliśmy do tej pory świadczą, że kampania nie wydaje się być przyporządkowana do jakiegokolwiek konkretnego miejsca, jednak należy wyróżnić dwa ważne czynniki:

  • Exploity wydają się być tworzone przez chińskich hakerów.
  • Moduły Rocra zostały stworzone przez rosyjskojęzycznych operatorów.

Obecnie nie ma dowodów na powiązanie tego ataku z operacją sponsorowaną przez rząd. Oczywiście, informacje skradzione przez napastników są na najwyższym poziomie i obejmują dane geopolityczne, które mogą zostać wykorzystane przez rządy różnych państw. Ale takie informacje mogą być również przedmiotem handlu w cyberprzestępczym podziemiu i zostać sprzedane za najwyższą cenę, która może zostać zapłacona gdziekolwiek.

Czy są jakieś ciekawe notatki w kodzie tego złośliwego oprogramowania, które mogłyby sugerować kim są napastnicy?

Kilka modułów Rocra zawiera interesujące literówki i błędy w pisowni:

  • network_scanner: “SUCCESSED”, “Error_massage”, “natrive_os”, “natrive_lan”
  • imapispool: “UNLNOWN_PC_NAME”, “WinMain: error CreateThred stop”
  • mapi_client: “Default Messanger”, “BUFEER IS FULL”
  • msoffice_plugin: “my_encode my_dencode”
  • winmobile: “Zakladka injected”, “Cannot inject zakladka, Error: %u”

W szczególności, słowo “Zakladka” w języku rosyjskim może oznaczać:

  • „zakładkę”
  • (bardziej prawdopodobnie) znaczenie slangowe „niezgłoszona funkcjonalność”, np. oprogramowania lub sprzętu. Jednak, może to również oznaczać mikrofon osadzony w cegłach budynku ambasady.

Klasa C++, która przechowuje parametry konfiguracyjne C&C została nazwana „MPTraitor”, a odpowiednia część w konfiguracji zasobów nazywa się „conn_a”. Kilka przykładów:

  • conn_a.D_CONN
  • conn_a.J_CONN
  • conn_a.D_CONN
  • conn_a.J_CONN

Jaki rodzaj informacji jest wyprowadzany z zainfekowanych maszyn?

Informacje kradzione z zainfekowanych systemów obejmują dokumenty z rozszerzeniami: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. W szczególności, rozszerzenia „acid***” wydają się odnosić do niejawnego oprogramowania „Acid Cryptofiler”, które jest używane przez kilka podmiotów, takich jak Unia Europejska, czy NATO.

Jaki jest cel tej operacji? Jakich informacji szukają napastnicy przeprowadzając tę, trwającą przez tyle lat, kampanię cyberszpiegowską?

Głównym celem działań w ramach kampanii jest zebranie niejawnych informacji i geopolitycznych danych wywiadowczych. Wydaje się jednak, że zakres gromadzenia informacji jest szerszy. W ciągu ostatnich pięciu lat, atakujący zbierali informacje od setek „ważnych” ofiar, choć nie wiadomo, jak te informacje zostały wykorzystane. Bardzo możliwe jest, że pewne informacje sprzedawane są na czarnym rynku, lub używane bezpośrednio do szantażu lub wyrządzenia większych szkód.

Jakie są mechanizmy infekcji dla tego złośliwego oprogramowania? Czy posiada właściwości samodzielnego rozprzestrzeniana? W jaki sposób funkcjonuje? Czy napastnicy opracowali niestandardową platformę ataku?

Główny kod szkodnika działa jako punkt wejścia do systemu, przez który można później załadować moduły wykorzystywane do ruchu poprzecznego w sieci. Po wstępnej infekcji, szkodnik nie rozprzestrzenia się samodzielnie – zazwyczaj atakujący zbierają przez kilka dni informacje o sieci, identyfikują kluczowe systemy, a następnie wdrażają moduły, które mogą narazić na szwank inne komputery w sieci, np. poprzez podatność na exploit MS08-067.

Ogólnie, platforma Rocra jest zaprojektowana do wykonywania „zadań”, które są dostarczane przez serwery C&C. Większość zadań jest dostarczana jako jednorazowe biblioteki PE DLL, które są pobierane z serwera, uruchamiane w pamięci i natychmiast usuwane.

Kilka zadań jednak musi być stale obecnych w systemie, np. oczekiwanie na podłączenie iPhone'a lub telefonu Nokia. Te zadania są dostarczane jako pliki PE EXE, które są instalowane na zainfekowanej maszynie.

Przykłady zadań „trwałych”:

  • Po podłączeniu dysku USB, wyszukaj i wyodrębnij pliki (również pliki usunięte) ze względu na maskę / format. Usunięte pliki są odtwarzane za pomocą parsera, wbudowanego w system plików.
  • Poczekaj na podłączenie iPhone'a lub telefonu Nokia. Po podłączeniu, pobierz informacje o telefonie, jego książkę telefoniczną, listę kontaktów, historię połączeń, kalendarz, wiadomości SMS, historię przeglądania.
  • Poczekaj na podłączenie telefonu z Windows Mobile. Po podłączeniu, zainfekuj telefon mobilną wersją głównego komponentu Rocra.
  • Zaczekaj na specjalnie spreparowany dokument Microsoft Office lub PDF i uruchom złośliwy ładunek wbudowany w ten dokument, ustanawiając jednocześnie jednokierunkowy i zarazem ukryty kanał komunikacji, używany do ewentualnego przywrócenia kontroli nad zainfekowaną maszyną.
  • Rejestruj wszystkie naciśnięcia klawiszy, wykonuj zrzuty ekranu.
  • Uruchom dodatkowe zaszyfrowane moduły zgodnie ze wstępnie zdefiniowanym terminarzem.
  • Pobierz wiadomości e-mail i załączniki z Microsoft Outlook i z osiągalnych serwerów pocztowych, korzystając z wcześniej uzyskanych poświadczeń.

Przykłady zadań „jednorazowych”:

  • Zbierz ogólne informacje o oprogramowaniu i środowisku sprzętowym.
  • Zbierz informacje o systemie plików, udziałach sieciowych i wbudowanych listach katalogów, wyszukaj i pobierz pliki ze względu na maskę dostarczoną przez serwer C&C.
  • Zbierz informacje o zainstalowanym oprogramowaniu, ze szczególnym naciskiem na bazy danych, narzędzia zdalnej administracji, komunikatory internetowe (z uwzględnieniem agenta Mail.ru), sterowniki i programy dla Windows Mobile, Nokii, Sony Ericssona, HTC, Androida i dysków USB.
  • Wyodrębnij historię przeglądania z Chrome'a, Firefoksa, Internet Explorera i Opery.
  • Wyodrębnij hasła zapisane dla stron internetowych, serwerów FTP, kont pocztowych i komunikatorów internetowych.
  • Wyodrębnij hashe kont systemu Windows (najprawdopodobniej do krakingu w trybie offline).
  • Wyodrębnij informacje o koncie Outlooka.
  • Określ zewnętrzny adres IP zainfekowanej maszyny.
  • Pobierz pliki z serwerów FTP, które są osiągalne z zainfekowanej maszyny (w tym z tych, które są podłączone do sieci lokalnej) przy użyciu uprzednio pobranych poświadczeń.
  • Zapisz i / lub wykonaj dowolny kod podany w ramach zadania.
  • Wykonaj skanowanie sieci, wykonaj zrzut danych konfiguracyjnych z urządzeń Cisco, jeżeli takowe są dostępne.
  • Wykonaj skanowanie sieci w predefiniowanym zakresie i replikuj się na maszynach z podatnością MS08-067.
  • Replikuj się poprzez sieć przy użyciu uprzednio pobranych poświadczeń administracyjnych.

Platforma Rocra została zaprojektowana przez atakujących od podstaw i nie została wykorzystana w innych operacjach.

Czy ten szkodnik został ograniczony tylko do stacji roboczych, czy też posiada dodatkowe funkcje, takie jak mobilny komponent szkodliwego oprogramowania?

Istnieje kilka modułów mobilnych, które zostały stworzone w celu kradzieży danych z kilku typów urządzeń:

  • Windows Mobile
  • iPhone
  • Nokia

Moduły te są instalowane w systemie i czekają na urządzenia mobilne, które mają być podłączone do maszyny ofiary. Kiedy połączenie zostanie wykryte, moduły rozpoczynają zbieranie danych z telefonów komórkowych.

Jak wiele wariantów, modułów lub szkodliwych plików zostało wykrytych w trakcie całego czasu trwania operacji Czerwony Październik?

W trakcie naszego badania, odkryliśmy ponad 1000 modułów, należących do 30 różnych kategorii. Były one tworzone począwszy od roku 2007, a najnowsza kompilacja datowana jest dzień 8 stycznia 2013 r.

Oto lista znanych modułów i kategorii:

Czy początkowe ataki zostały przeprowadzone na wybrane cele o najwyższym priorytecie, czy kierowane były w seriach (falach większych ataków) na pojedyncze cele / organizacje?

Wszystkie ataki zostały starannie dopasowane do specyfiki ofiar. Na przykład, pierwsze dokumenty były starannie dostosowywane, aby były bardziej atrakcyjne i przekonywujące, a każdy moduł był specjalnie opracowywany dla konkretnej ofiary do tego stopnia, że zawierał wewnątrz nawet unikalny identyfikator ofiary. W późniejszym czasie można było zaobserwować wysoki stopień interakcji między atakującymi i ofiarami – operacja była prowadzona w zależności od rodzaju konfiguracji środowiska ofiary, rodzaju wykorzystywanych dokumentów, zainstalowanego oprogramowania, języka ojczystego itd. W porównaniu z Flamem i Gaussem, które były wysoce zautomatyzowanymi kampaniami cyberszpiegowskimi, Rocra jest bardziej „ludzka” i dobrze dopasowana do konkretnych ofiar.

Czy operacja Rocra ma jakiś związek z Duqu, Flamem i Gaussem?

Nie mogliśmy znaleźć żadnych powiązań między Rocra i Flamem oraz platformami Tilded.

Jak operacja Rocra ma się do podobnych kampanii, w stylu Aurora czy Night Dragon? Są jakieś znaczące podobieństwa lub różnice?

W porównaniu z operacjami Aurora i Night Dragon, Rocra jest o wiele bardziej wysublimowana. Podczas naszych badań odkryliśmy ponad 1000 unikalnych plików, należących do około 30 różnych kategorii modułów. Ogólnie rzecz biorąc, kampanie Aurora i Night Dragon wykorzystywały stosunkowo proste złośliwe oprogramowanie do kradzieży poufnych informacji. W przypadku Rocra, napastnikom udało się pozostać w ukryciu przez ponad 5 lat i skutecznie unikać detekcji przez większość produktów antywirusowych, jednocześnie wyprowadzając ogromną ilość danych, która w obecnej chwili może wynosić setki terabajtów.

Ile jest serwerów centrum kontroli? Czy Kaspersky Lab prowadzi na nich jakieś analizy kryminalistyczne?

Podczas naszego dochodzenia odkryliśmy ponad 60 nazw domen stosowanych przez napastników do kontroli i pobierania danych ofiar. Nazwy domen powiązane są z kilkudziesięcioma adresami IP, zlokalizowanymi głównie w Rosji i Niemczech.

Oto przegląd infrastruktury centrum kontroli Rocra, wykrytej podczas naszych badań:

Więcej szczegółowych informacji na temat serwerów centrum kontroli zostanie ujawnionych w późniejszym terminie.

Czy udało się zassać do leja któryś z serwerów centrum kontroli?

Byliśmy w stanie zassać do leja sześć z ponad sześćdziesięciu domen używanych przez różne wersje szkodliwego oprogramowania. Podczas okresu ścisłego monitorowania (2 listopada 2012 - 10 stycznia 2013), zarejestrowaliśmy ponad 55 000 połączeń z lejem. Liczba różnych adresów IP łączących się z lejem wyniosła 250.

Z punktu widzenia podziału geograficznego połączeń z lejem, zarejestrowaliśmy ofiary pochodzące z 39 krajów, z których większość adresów IP przynależało do Szwajcarii, Kazachstanu i Grecji.


Statystyki z leja: 2 listopada 2012 - 10 stycznia 2013

Czy w ramach dochodzenia i ochrony przed infekcją, firma Kaspersky Lab współpracuje z jakimiś instytucjami rządowymi, zespołami powołanymi do reagowania na zdarzenia naruszające bezpieczeństwo w sieci (CERT), organami ścigania lub firmami ochroniarskimi?

Kaspersky Lab, we współpracy z organizacjami międzynarodowymi, zespołami powołanymi do reagowania na zdarzenia naruszające bezpieczeństwo w sieci, organami ścigania i innymi firmami z branży bezpieczeństwa IT kontynuuje swoje dochodzenie w sprawie operacji Czerwony Październik dostarczając ekspertyz technicznych i środków do naprawy i łagodzenia skutków infekcji.

Eksperci z Kaspersky Lab dziękują za pomoc w dochodzeniu następującym organizacjom: US-CERT, CERT Rumunia i CERT Białoruś.

Osoby, które reprezentują organizację CERT i chcą uzyskać więcej informacji o infekcjach w danym kraju, prosimy o kontakt z nami pod adresem theflame@kaspersky.com. Wkrótce opublikujemy więcej informacji o kampanii cyberszpiegowskiej Red October.

Lista hashy MD5s znanych dokumentów wykorzystywanych w atakach Red October:

114ed0e5298149fc69f6e41566e3717a
1f86299628bed519718478739b0e4b0c
2672fbba23bf4f5e139b10cacc837e9f
350c170870e42dce1715a188ca20d73b
396d9e339c1fd2e787d885a688d5c646
3ded9a0dd566215f04e05340ccf20e0c
44e70bce66cdac5dc06d5c0d6780ba45
4bfa449f1a351210d3c5b03ac2bd18b1
4ce5fd18b1d3f551a098bb26d8347ffb
4daa2e7d3ac1a5c6b81a92f4a9ac21f1
50bd553568422cf547539dd1f49dd80d
51edea56c1e83bcbc9f873168e2370af
5d1121eac9021b5b01570fb58e7d4622
5ecec03853616e13475ac20a0ef987b6
5f9b7a70ca665a54f8879a6a16f6adde
639760784b3e26c1fe619e5df7d0f674
65d277af039004146061ff01bb757a8f
6b23732895daaad4bd6eae1d0b0fef08
731c68d2335e60107df2f5af18b9f4c9
7e5d9b496306b558ba04e5a4c5638f9f
82e518fb3a6749903c8dc17287cebbf8
85baebed3d22fa63ce91ffafcd7cc991
91ebc2b587a14ec914dd74f4cfb8dd0f
93d0222c8c7b57d38931cfd712523c67
9950a027191c4930909ca23608d464cc
9b55887b3e0c7f1e41d1abdc32667a93
9f470a4b0f9827d0d3ae463f44b227db
a7330ce1b0f89ac157e335da825b22c7
b9238737d22a059ff8da903fbc69c352
c78253aefcb35f94acc63585d7bfb176
fc3c874bdaedf731439bbe28fc2e6bbe
bb2f6240402f765a9d0d650b79cd2560
bd05475a538c996cd6cafe72f3a98fae
c42627a677e0a6244b84aa977fbea15d
cb51ef3e541e060f0c56ac10adef37c3
ceac9d75b8920323477e8a4acdae2803
cee7bd726bc57e601c85203c5767293c
d71a9d26d4bb3b0ed189c79cd24d179a
d98378db4016404ac558f9733e906b2b
dc4a977eaa2b62ad7785b46b40c61281
dc8f0d4ecda437c3f870cd17d010a3f6
de56229f497bf51274280ef84277ea54
ec98640c401e296a76ab7f213164ef8c
f0357f969fbaf798095b43c9e7a0cfa7
f16785fc3650490604ab635303e61de2