Красное октябрьское вредоносное ПО, обнаруженное после многих лет кражи данных в дикой природе

Теневая группа хакеров за последние пять лет выдала разведывательные данные по всему миру из дипломатических, правительственных и научно-исследовательских компьютерных сетей, включая цели в Соединенных Штатах, согласно отчет от Лаборатории Касперского.

«Лаборатория Касперского» начала исследовать атаки вредоносных программ в октябре и назвала их «Rocra», сокращенными для «Red October». Rocra использует ряд уязвимостей безопасности в типах документов Microsoft Excel, Word и PDF для заражения ПК, смартфоны и компьютерное сетевое оборудование. Во вторник исследователи обнаружили, что вредоносная платформа также использует эксплойты на основе Java.

Непонятно, кто стоит за атаками, но Rocra использует как минимум три общеизвестных эксплойта, первоначально созданных китайскими хакерами. Однако, по словам представителя Лаборатории Касперского, программирование Rocra, по-видимому, принадлежит отдельной группе русскоязычных сотрудников.

[Читать дальше: Ваш новый компьютер нуждается в этих 15 бесплатных, отличных программах]

Атаки продолжающихся и нацеленных на учреждения высокого уровня в так называемых атаках на копье. По оценкам Касперского, атаки Красного Октября, вероятно, получили сотни терабайт данных за время его функционирования, что может быть уже в мае 2007 года.

Инфекции Rocra были обнаружены в более чем 300 странах в период с 2011 по 2012 год по информации из антивирусных продуктов Kaspersky. Пострадавшие страны были прежде всего бывшими членами СССР, включая Россию (35 инфекций), Казахстан (21) и Азербайджан (15).

Другие страны с большим числом инфекций включают Бельгию (15), Индию (14), Афганистан (10) и Армения (10). Шесть инфекций были обнаружены в посольствах, расположенных в Соединенных Штатах. Поскольку эти номера поступают только с компьютеров, использующих программное обеспечение Kaspersky, реальное число заражений может быть намного выше.

Принять все

Kaspersky сообщила, что вредоносное ПО, используемое в Rocra, может украсть данные с рабочих станций ПК и смартфонов, подключенных к ПК, включая iPhone, Nokia и Windows Mobile. Rocra может получать информацию о конфигурации сети от оборудования, предназначенного для Cisco, и захватывать файлы со съемных дисков, включая удаленные данные.

Платформа вредоносных программ также может украсть сообщения электронной почты и вложения, записывать все нажатия клавиш на зараженной машине, делать скриншоты, и просматривать историю просмотра из браузеров Chrome, Firefox, Internet Explorer и Opera. Как будто этого было недостаточно, Rocra также захватывает файлы, хранящиеся на FTP-серверах локальной сети, и может реплицироваться через локальную сеть.

Par для курса

Несмотря на то, что возможности Rocra оказываются обширными, не все в области безопасности был впечатлен методами атаки Рокры. «Похоже, что используемые эксплоиты не были продвинуты каким-либо образом», - заявила охранная фирма F-Secure в своем блоге компании. «Нападавшие использовали старые, хорошо известные эксплойты Word, Excel и Java. Пока что нет признаков уязвимостей с нулевым днем ​​». Уязвимость с нулевым днем ​​относится к ранее неизвестным эксплойтам, обнаруженным в дикой природе.

Несмотря на то, что F-Secure не впечатляет своими техническими возможностями, F-Secure сообщает о нападениях Red October являются интересными из-за продолжительности времени, проведенного Rocra, и масштабов шпионажа, предпринятого одной группой. «Тем не менее, - добавила F-Secure. «Печальная правда заключается в том, что компании и правительства постоянно подвергаются подобным атакам из разных источников».

Rocra начинается, когда жертва загружается и открывает файл вредоносной производительности (Excel, Word, PDF), который затем может извлечь больше вредоносных программ из Rocra's серверы управления и управления, метод, известный как троянская программа. Этот второй раунд вредоносного ПО включает программы, которые собирают данные и отправляют эту информацию хакерам.

Украденные данные могут включать в себя повседневные типы файлов, такие как простой текст, богатый текст, Word и Excel, но атаки Red October также следуют за криптографическими данными, такими как зашифрованные файлы pgp и gpg.

Кроме того, Rocra ищет файлы, которые используют Расширения «Acid Cryptofile», которые являются криптографическим программным обеспечением, используемым правительствами и организациями, включая Европейский Союз и Организацию Североатлантического договора. Неясно, способны ли люди, стоящие за Rocra, расшифровывать любые зашифрованные данные, которые они получают.

Перерождение электронной почты

Rocra также особенно устойчив к вмешательству со стороны правоохранительных органов, сообщает Kaspersky. Если серверы управления и управления кампанией были закрыты, хакеры разработали систему, чтобы они могли восстановить контроль над своей вредоносной платформой с помощью простой электронной почты.

Один из компонентов Rocra ищет любой входящий документ PDF или Office который содержит исполняемый код и помечен специальными тегами метаданных. В документе будут проходить все проверки безопасности, говорит Касперский, но как только он будет загружен и открыт, Rocra может запустить вредоносное приложение, прикрепленное к документу, и продолжить подачу данных плохим парням. Используя этот трюк, всем хакерам нужно настроить несколько новых серверов и почтовые вредоносные документы для предыдущих жертв, чтобы вернуться в бизнес.

Серверы Rocra настроены как серия прокси (серверы, скрывающиеся за другими серверами), что значительно затрудняет обнаружение источника атак. Kasperksy говорит, что сложность инфраструктуры Rocra является конкурентом злоумышленника Flame, который также использовался для заражения ПК и кражи конфиденциальных данных. Нет никакой известной связи между Rocra, Flame или вредоносной программой, такой как Duqu, которая была построена на коде, подобном Stuxnet.

Как отмечалось F-Secure, атаки Red October, похоже, не делают ничего особенно нового, но количество времени, которое эта вредоносная кампания находилось в дикой природе, впечатляет. Подобно другим кампаниям кибер-шпионажа, таким как Flame, Red October полагается на обманывание пользователей в загрузку и открытие вредоносных файлов или посещение вредоносных веб-сайтов, где код может быть введен в их устройства. Это говорит о том, что, хотя компьютерный шпионаж может развиваться, основы компьютерной безопасности могут пройти долгий путь, чтобы предотвратить эти атаки.

Принять меры предосторожности

Полезные меры предосторожности, такие как опасаться файлов неизвестных отправителей или следить за файлы, которые не соответствуют характеру от предполагаемого отправителя, являются хорошим началом. Также полезно опасаться посещения сайтов, которым вы не знаете или не доверяете, особенно при использовании корпоративного оборудования. Наконец, убедитесь, что у вас есть все последние обновления для системы безопасности для вашей версии Windows, и серьезно подумайте о том, чтобы отключить Java, если вы в ней не нуждаетесь. Возможно, вы не сможете предотвратить всевозможные атаки, но соблюдение основных правил безопасности может защитить вас от многих плохих актеров онлайн.

Kaspersky говорит, что неясно, являются ли атаки Red October работой национального государства или преступников, которые ищут продавать конфиденциальные данные на черном рынке. Компания безопасности планирует опубликовать дополнительную информацию о Rocra в ближайшие дни.

Если вас беспокоит, повлияла ли какая-либо из ваших систем на Rocra, F-Secure сообщает, что ее антивирусное программное обеспечение может обнаруживать известные в настоящее время эксплойты, используемые в Атаки красного Октября. Антивирусное программное обеспечение Касперского также может обнаруживать угрозы от Rocra.