ČErvený říjenový malware objevený po letech krádeže dat v divočině

Stínová skupina hackerů sifonovala informace z celého světa z diplomatických, vládních a vědeckých výzkumných počítačových sítí více než pět let, včetně cílů ve Spojených státech. Kaspersky Lab začalo v říjnu zkoumat útoky škodlivého softwaru a nazval je "Rocrou", zkratkou pro "červený říjen". Rocra využívá řadu bezpečnostních chyb v typech dokumentů Microsoft Excel, Word a PDF k infekci Počítače, smartphony a počítačová síťová zařízení. V úterý vědci zjistili, že malware platforma také využívá webových Java exploitů.

Není jasné, kdo je za útoky, ale Rocra používá nejméně tři veřejně známé exploity původně vytvořené čínskými hackery. Programování společnosti Rocra se však podle zprávy společnosti Kaspersky Lab jeví jako samostatná skupina rusky mluvících pracovníků.

[Další informace: Váš nový počítač potřebuje tyto 15 bezplatných, vynikajících programů]

Útoky jsou probíhající a zaměřené na instituce na vysoké úrovni, které jsou známé jako útoky lovu kopí. Kaspersky odhaduje, že útoky červeného října pravděpodobně získaly stovky terabajtů dat v době, kdy byla uvedena do provozu, což by mohlo být již v květnu 2007.

Rocka infekce byly objeveny ve více než 300 zemích v letech 2011 a 2012, založené na informace z antivirových produktů společnosti Kaspersky. Zmíněné země byly především bývalými členy SSSR, včetně Ruska (35 infekcí), Kazachstánu (21) a Ázerbájdžánu (15).

Jiné země s vysokým počtem infekcí zahrnují Belgie (15), Indie (14) Afghánistánu (10) a Arménii (10). Šest infekcí bylo odhaleno u velvyslanectví umístěných ve Spojených státech. Protože tato čísla pocházejí pouze z počítačů používajících software Kaspersky, skutečný počet infekcí by mohl být mnohem vyšší.

Vezměte vše

Kaspersky uvedl, že malware používaný v Rocra může ukrást data z PC a smartphonů připojených k PC, iPhone, Nokia a Windows Mobile. Společnost Rocra může získat informace o konfiguraci sítě z zařízení značky Cisco a uchopit soubory z vyměnitelných disků včetně odstraněných dat.

Platforma malware může také ukrást e-mailové zprávy a přílohy, zaznamenat všechny úhozy infikovaného počítače, a uchopte historii prohlížení z prohlížečů Chrome, Firefox, Internet Explorer a Opera Web. Jako by to nestačilo, Rocra také chytne soubory uložené na FTP serverech místní sítě a může se replikovat přes lokální síť.

Par pro kurz

I když se možnosti Rocru objevují rozsáhlé, ne všichni v oblasti zabezpečení byl zaujat Rocrovými metodami útoku. "Zdá se, že použité zneužití nebyly v žádném případě vylepšeny," uvedla bezpečnostní firma F-Secure na svém blogu. "Útočníci používali staré, známé známky aplikace Word, Excel a Java. Zatím neexistují známky zranitelnosti za nulové dny, které by se používaly. "Zranitelnost v nultém dni se týká dosud neznámých exploitů objevených v divočině.

I přes to, že F-Secure nebyl vyčerpán svou technickou kapacitou, říká útoky červeného října jsou zajímavé kvůli době, kdy byla společnost Rocra aktivní a rozsah špehování prováděný jednou skupinou. "Nicméně," dodal F-Secure. "Smutná pravda je, že společnosti a vlády jsou neustále pod podobnými útoky z mnoha různých zdrojů."

Rocra začíná, když oběť stáhne a otevírá škodlivý soubor produktivity (Excel, Word, PDF), který pak může načíst další malware z Rocru command-and-control servery, což je metoda známá jako trojský dropper. Toto druhé kolo škodlivého softwaru zahrnuje programy, které shromažďují data a odesílají tyto informace zpět hackerům.

Ukradené údaje mohou zahrnovat běžné typy souborů, jako je prostý text, bohatý text, Word a Excel, ale červené říjnové útoky také šly po kryptografických datech, jako jsou například pgp a gpg šifrované soubory.

Navíc Rocra hledá soubory, které používají Rozšíření "Acid Cryptofile", což je kryptografický software používaný vládami a organizacemi včetně Evropské unie a Organizace Severoatlantické smlouvy. Není zřejmé, zda jsou lidé za Rocrou schopni dešifrovat jakékoliv šifrované údaje, které získají.

Znovuzrození e-mailu

Podle společnosti Kaspersky Rocra je také zvlášť odolná proti rušení ze strany orgánů činných v trestním řízení. Pokud byly servery příkazového a řídícího systému vypnuty, hackeři navržili systém tak, aby získali kontrolu nad svou malwarovou platformou jednoduchým e-mailem.

Jedna z komponent Rocry vyhledává jakýkoli příchozí dokument PDF nebo Office který obsahuje spustitelný kód a je označen speciálními značkami metadat. Dokument předá všechny kontroly bezpečnosti, říká Kaspersky, ale jakmile je staženo a otevřeno, může Rocra spustit škodlivou aplikaci připojenou k dokumentu a pokračovat v podávání dat padouchům. Použití tohoto triku, všichni hackeři musí udělat, je vytvořit nové servery a e-mailové škodlivé dokumenty pro předchozí oběti, aby se vrátili do podnikání.

Servery Rocry jsou nastaveny jako série proxy serverů (servery skrývající se za jinými servery), což je mnohem těžší zjistit zdroj útoků. Kasperksy říká, že složitost infrastruktury společnosti Rocra soupeří s malwarem Flame, který byl také používán k infekci počítačů a krádeži citlivých dat. Neexistuje žádné známé spojení mezi Rocrou, Flame nebo malware, jako je Duqu, který byl postaven na kódu podobném Stuxnetu.

Jak F-Secure poznamenal, červené říjnové útoky se nezdá, že dělají něco zvláště nového, ale doba, po kterou byla tato malware kampaň ve volné přírodě, je impozantní. Podobně jako u jiných kampaní zaměřených na počítačové špionáže, jako je například Flame, Red October spoléhá na to, že uživatelé sdělují stahování a otevírání škodlivých souborů nebo návštěvu škodlivých webových stránek, do kterých lze do svých zařízení vložit kód. To naznačuje, že zatímco počítačová špionáž může být na vzestupu, základy počítačové bezpečnosti mohou jít dlouhou cestou, aby se zabránilo těmto útokům.

Ujistěte se, že bezpečnostní opatření

Ujistěte se, soubory, které jsou z jejich předpokládaného odesílatele mimo znak, je dobrý začátek. Je také užitečné dbát na návštěvy webových stránek, které nevíte nebo důvěřujete, zejména při používání firemních zařízení. Nakonec se ujistěte, že máte k dispozici všechny nejnovější aktualizace zabezpečení pro verzi systému Windows a vážně zvažte možnost vypnutí Java, pokud ji zcela nepotřebujete. Možná nebudete schopni zabránit všem možným útokům, ale dodržování základních bezpečnostních postupů vás může chránit před mnoha špatnými herci online.

Kaspersky říká, že není jasné, zda útoky červeného října jsou dílem národního státu nebo zločinci hledají prodávat citlivé údaje na černém trhu. Bezpečnostní společnost plánuje v nadcházejících dnech zveřejnit další informace o společnosti Rocra.

Pokud máte obavy, zda je některý z vašich systémů Rocrou zasažen, společnost F-Secure říká, že jeho antivirový software dokáže rozpoznat aktuálně známé zneužívané funkce Útoky v červeném říjnu. Antivirový software společnosti Kaspersky také může odhalit hrozby společnosti Rocra.