Vyberte stránku

Červený říjen - děla Aurora již nejsou vypalována!

Napsáno: | 2013. ledna 15 | | 0 |

Společnost Kaspersky Lab dnes vydala novou zprávu identifikující nový kybernetický špionážní útok, který útočí na diplomatické, vládní a vědecké výzkumné organizace po celém světě po dobu nejméně pěti let. Série útoků je primárně zaměřena na východoevropské země, členy bývalého Sovětského svazu a střední Asii, ale k incidentům dochází všude, včetně západní Evropy a Severní Ameriky.

logo kaspersky

Útočníci mají za cíl odcizit organizacím důležité dokumenty, včetně geopolitických informací, ověřování potřebných pro přístup k počítačovým systémům a osobních údajů z mobilních zařízení a síťového vybavení.

 

V říjnu 2012 zahájili odborníci společnosti Kaspersky Lab vyšetřování série útoků na počítačové systémy mezinárodních diplomatických organizací, které odhalily rozsáhlou síť kybernetické špionáže. Společnost Kaspersky Lab uvádí, že operace Červený říjen, zkráceně „Rocra“, je stále aktivní a bude zahájena v roce 2007.

 

Hlavní výsledky výzkumu:

 

Červený říjen je vyspělá síť kybernetické špionáže: Útočníci jsou aktivní nejméně od roku 2007 a zaměřují se především na diplomatické a vládní agentury po celém světě, výzkumné ústavy, energetické a jaderné skupiny a komerční a letecké organizace. Zločinci z Červeného října vyvinuli svého vlastního škůdce, kterého společnost Kaspersky Lab identifikovala jako „Rocra“. Tento malware má svou vlastní jedinečnou modulární strukturu se škodlivými rozšířeními, moduly, které se specializují na krádež dat, a takzvané „backdoor“ trojské koně, které umožňují neoprávněný přístup do systému a umožňují tak instalaci dalšího malwaru a krádeží osobních údajů.

 

Útočníci často používají informace extrahované z infikovaných sítí k přístupu k dalším systémům. Ukradená autentizace může například poskytnout vodítka k heslům nebo frázím potřebným pro přístup k dalším systémům.

 

Aby mohli ovládat síť infikovaných počítačů, útočníci zřídili více než 60 doménových jmen a řadu serverových hostitelských systémů v různých zemích, většina z nich v Německu a Rusku. Analýza infrastruktury Rocra C&C (Command & Control) ukázala, že řetězec serverů ve skutečnosti fungoval jako proxy pro skrytí „mateřské lodi“, tj. Umístění řídicího serveru.

 

Dokumenty obsahující ukradené informace z infikovaných systémů zahrnují následující rozšíření: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidcaca, aciddsk, acidpvr, acidppr, acidssa. Rozšíření „kyselina“ může odkazovat na software „Acid Cryptofiler“, který používá mnoho institucí od Evropské unie po NATO.

 

Oběti

 

Aby infikovali systém, kriminalisté zasílali oběti cílené „spear-phising“ e-maily s personalizovaným trojským „kapátkem“, virem, který se dokáže reprodukovat sám. Chcete -li nainstalovat malware a infikovat váš systém, škodlivý e -mail obsahoval exploity, které zneužívaly chyby zabezpečení v aplikacích Microsoft Office a Microsoft Excel. Zneužití phishingové zprávy vytvořili další útočníci a použili je při různých kybernetických útocích, včetně tibetských aktivistů a vojenských a energetických cílů v Asii. Jedinou věcí, která odlišuje dokument používaný Rocrou, je vložitelný spustitelný soubor, který útočníci nahradili vlastním kódem. Je pozoruhodné, že jeden z příkazů v trojské kapce změnil výchozí systémovou kódovou stránku příkazového řádku na 1251, která je vyžadována pro azbuku.

 

Cíle

 

Experti společnosti Kaspersky Lab použili k analýze cílů dvě metody. Na jedné straně jsou založeny na statistikách detekce cloudové bezpečnostní služby Kaspersky Security Network (KSN), kterou produkty společnosti Kaspersky Lab používají k hlášení telemetrie a poskytují pokročilou ochranu pomocí blacklistů a heuristických pravidel. Již v roce 2011 KSN detekovala exploit kód použitý v malwaru, což spustilo další monitorovací proces související s Rocrou. Druhou metodou vědců bylo vytvořit takzvaný „závrtný“ systém, který by bylo možné použít ke sledování infikovaného systému, který byl připojen k serverům Rocra C&C. Data získaná těmito dvěma různými metodami nezávisle potvrdila výsledky.

 

  • Statistiky KSN: KSN objevila stovky unikátních infikovaných systémů, z nichž většina zahrnuje velvyslanectví, vládní sítě a organizace, vědeckovýzkumné ústavy a konzuláty. Podle údajů shromážděných KSN pochází většina infikovaných systémů z východní Evropy, ale incidenty byly identifikovány také v Severní Americe a západoevropských zemích, Švýcarsku a Lucembursku.
  • Statistiky závrtů: Analýza závrtů společnosti Kaspersky Lab trvala od 2012. listopadu 2 do 2013. ledna 10. Během této doby bylo zaznamenáno více než 250 55 připojení z 0000 infikovaných IP adres ve 39 zemích. Většina infikovaných připojení IP pocházela ze Švýcarska, Kazachstánu a Řecka.

 

 

Malware Rocra: jedinečná struktura a funkce

 

Útočníci vytvořili multifunkční platformu, která obsahuje řadu rozšíření a škodlivých souborů, které se snadno přizpůsobí různým konfiguracím systému a získávají intelektuální hodnotu z infikovaných počítačů. Tato platforma je pro Rocra jedinečná, společnost Kaspersky Lab v předchozích kampaních s kybernetickou špionáží nic podobného neviděla. Jeho hlavní vlastnosti jsou:

 

  • Modul „Resurrect“: Tento jedinečný modul umožňuje útočníkům vzkřísit infikované počítače. Modul je integrován jako plug-in v instalacích Adobe Reader a Microsoft Office a poskytuje bezpečnou cestu pro zločince k opětovnému získání přístupu k cílenému systému v případě, že je odhalena a odstraněna hlavní část malwaru, nebo když jsou v systému chyby zabezpečení. jsou fixní. Poté, co C & C opět fungují, útočníci odešlou speciální soubor dokumentu (PDF nebo Office) na počítač obětí e -mailem, který malware znovu aktivuje.
  • Pokročilé špionážní moduly: Hlavním účelem špionážních modulů je ukrást informace. Patří sem soubory z různých šifrovacích systémů, jako je Acid Cryptofiler, který používají organizace jako NATO, Evropská unie, Evropský parlament a Evropská komise.
  • Mobilní zařízení: Kromě útoku na tradiční pracovní stanice může malware také krást data z mobilních zařízení, jako jsou smartphony (iPhone, Nokia a Windows Mobile). Kromě toho malware shromažďuje konfigurační data z odstraněných souborů z podnikových síťových zařízení, jako jsou směrovače, přepínače a vyměnitelné pevné disky.

 

 

O útočnících: Na základě registračních údajů serverů C&C a řady zbytků nalezených ve spustitelných souborech malwaru ukazují silné technické důkazy na ruský původ útočníků. Navíc spustitelné soubory používané zločinci dosud nebyly známy a experti společnosti Kaspersky Lab je ve svých předchozích analýzách kybernetické špionáže neidentifikovali.

 

Díky svým technickým znalostem a zdrojům bude společnost Kaspersky Lab nadále vyšetřovat Rocru v úzké spolupráci s mezinárodními organizacemi, orgány činnými v trestním řízení a národními centry zabezpečení sítě.

 

Společnost Kaspersky Lab by chtěla poděkovat US-CERT, rumunským CERT a běloruským CERT za pomoc při vyšetřování.

 

Produkty společnosti Kaspersky Lab, úspěšně klasifikované jako Blockdoor.Win32.Sputnik, byly úspěšně detekovány, zablokovány a obnoveny.

Čtení: 1 459

Opatření:

O autorovi

s3nki

Vlastník webu HOC.hu. Je autorem stovek článků a tisíců novinek. Kromě různých online rozhraní napsal pro časopis Chip Magazine a také pro PC Guru. Nějakou dobu provozoval svůj vlastní obchod s PC a roky pracoval kromě žurnalistiky také jako vedoucí obchodu, správce služeb, správce systému.

Související příspěvky

Přehrávač médií VLC se konečně stabilizoval

Přehrávač médií VLC se konečně stabilizoval

2018-02-12

Screenshoty Crysis 2

Screenshoty Crysis 2

2008-01-16

Problémy s antivirem Avast

Problémy s antivirem Avast

2011-09-27

IGoogle: přizpůsobitelná domovská stránka Google v angličtině!

IGoogle: přizpůsobitelná domovská stránka Google v angličtině!

2007-05-02

prapor

KoupitBestGear

Inzerát

ranvee

Domácí spotřebiče Ranvee