Красный Октябрь - пушки Авроры больше не стреляют!

«Лаборатория Касперского» опубликовала новый отчет, в котором описывается новая кибершпионажная атака, которая уже не менее пяти лет атакует дипломатические, правительственные и научно-исследовательские организации по всему миру. Серия атак в первую очередь нацелена на страны Восточной Европы, бывшего Советского Союза и Центральной Азии, но инциденты происходят повсюду, включая Западную Европу и Северную Америку.

Злоумышленники стремятся украсть у организаций важные документы, включая геополитическую информацию, аутентификацию, необходимую для доступа к компьютерным системам, и личные данные с мобильных устройств и сетевого оборудования.

В октябре 2012 года специалисты «Лаборатории Касперского» начали расследование серии атак на компьютерные системы международных дипломатических организаций, в ходе которого была раскрыта масштабная сеть кибершпионажа. Согласно отчету «Лаборатории Касперского», операция «Красный Октябрь», получившая сокращенное название «Рокра», действует до сих пор, а ее начало датируется 2007 годом.

Основные результаты исследования:

«Красный Октябрь» — это передовая сеть кибершпионажа. Злоумышленники действуют по крайней мере с 2007 года и в первую очередь ориентированы на дипломатические и правительственные учреждения по всему миру, а также на исследовательские институты, энергетические и ядерные группы, а также на коммерческие и авиационные организации. Преступники «Красного Октября» разработали собственное вредоносное ПО, которое «Лаборатория Касперского» идентифицировала как «Rocra». Эта вредоносная программа имеет собственную уникальную модульную структуру с вредоносными расширениями, модулями, специализирующимися на краже данных, и так называемыми «бэкдорными» троянами, обеспечивающими несанкционированный доступ к системе и тем самым позволяющими установку дополнительных вредоносных программ и кражу персональных данных.

Злоумышленники часто используют информацию, извлеченную из зараженных сетей, для получения доступа к дополнительным системам. Например, украденные аутентификации могут дать подсказки относительно паролей или фраз, необходимых для доступа к дополнительным системам.

Для контроля над сетью зараженных машин злоумышленники создали более 60 доменных имен и несколько серверных хостинг-систем в разных странах, большинство из них — в Германии и России. Анализ инфраструктуры C&C (Command & Control) Rocra показал, что цепочка серверов фактически действовала как прокси-сервер, чтобы скрыть местоположение «материнского корабля», то есть управляющего сервера.

Документы, содержащие украденную информацию из зараженных систем, имеют следующие расширения: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidsa. Расширение «acid» может относиться к программному обеспечению «Acid Cryptofiler», которое используется многими учреждениями от Европейского Союза до НАТО.

Жертвы

Чтобы заразить систему, злоумышленники рассылали жертве целевые электронные письма с использованием персонализированного троянского «дроппера» - вируса, который мог воспроизводиться сам по себе. Чтобы установить вредоносное ПО и заразить вашу систему, вредоносное электронное письмо содержало эксплойты, которые использовали уязвимости в Microsoft Office и Microsoft Excel. Эксплойты в фишинговом сообщении были созданы другими злоумышленниками и использовались во время различных кибератак, включая тибетских активистов, а также военные и энергетические цели в Азии. Единственное, что отличает документ, используемый Rocra, - это встраиваемый исполняемый файл, который злоумышленники заменили собственным кодом. Примечательно, что одна из команд троянца-дроппера изменила системную кодовую страницу командной строки по умолчанию на 1251, которая требуется для кириллического шрифта.

Цели

Специалисты «Лаборатории Касперского» использовали два метода анализа целей. С одной стороны, они основаны на статистике обнаружения облачной службы безопасности Kaspersky Security Network (KSN), которую продукты «Лаборатории Касперского» используют для составления отчетов о телеметрии и обеспечения расширенной защиты с использованием черных списков и эвристических правил. Еще в 2011 году KSN обнаружила код эксплойта, использованный во вредоносной программе, что инициировало дополнительный процесс мониторинга, связанный с Rocra. Второй метод исследователей заключался в создании системы, называемой «воронкой», для отслеживания зараженной системы, подключенной к C&C серверам Rocra. Данные, полученные двумя разными методами, независимо подтвердили результаты.

• Статистика KSN: KSN обнаружил сотни уникальных зараженных систем, большинство из которых связаны с посольствами, правительственными сетями и организациями, научно-исследовательскими институтами и консульствами. Согласно данным, собранным KSN, большинство зараженных систем возникло в Восточной Европе, но инциденты также были выявлены в странах Северной Америки и Западной Европы, Швейцарии и Люксембурге.
• Статистика карстовых воронок: анализ воронок «Лаборатории Касперского» длился со 2012 ноября 2 г. по 2013 января 10 г. За это время было зафиксировано более 250 55 подключений с 0000 зараженных IP-адресов в 39 странах мира. Большинство зараженных IP-соединений поступило из Швейцарии, Казахстана и Греции.

Вредоносное ПО Rocra: уникальная структура и функционал

Злоумышленники создали многофункциональную платформу, которая включает в себя ряд плагинов и вредоносных файлов, чтобы легко адаптироваться к различным конфигурациям системы и получать интеллектуальную ценность от зараженных машин. Эта платформа уникальна для Rocra, «Лаборатория Касперского» не видела ничего подобного в предыдущих кибершпионажных кампаниях. Его основные особенности:

• Модуль «Воскрешение». Этот уникальный модуль позволяет злоумышленникам воскрешать зараженные машины. Модуль встраивается в качестве плагина в установки Adobe Reader и Microsoft Office и предоставляет преступникам надежный способ восстановить доступ к целевой системе, если основное вредоносное ПО обнаружено и удалено или если уязвимости системы исправлены. Как только C&C снова заработает, злоумышленники отправляют специальный файл документа (PDF или Office) на компьютер жертвы по электронной почте, что повторно активирует вредоносное ПО.
• Расширенные шпионские модули: основная цель шпионских модулей - кража информации. Сюда входят файлы из различных систем шифрования, таких как Acid Cryptofiler, который используется такими организациями, как НАТО, Европейский союз, Европейский парламент и Европейская комиссия.
• Мобильные устройства: помимо атак на традиционные рабочие станции, вредоносное ПО может также красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia и Windows Mobile). Кроме того, вредоносная программа собирает данные конфигурации из удаленных файлов с устройств корпоративной сети, таких как маршрутизаторы, коммутаторы и съемные жесткие диски.

О злоумышленниках: на основании регистрационных данных командных серверов и ряда останков, обнаруженных в исполняемых файлах вредоносной программы, убедительные технические доказательства указывают на российское происхождение злоумышленников. Кроме того, исполняемые файлы, используемые злоумышленниками, до сих пор были неизвестны, и эксперты «Лаборатории Касперского» не идентифицировали их в своих предыдущих анализах кибершпионажа.

Обладая техническими знаниями и ресурсами, «Лаборатория Касперского» продолжит расследование в отношении Рокра в тесном сотрудничестве с международными организациями, правоохранительными органами и национальными центрами сетевой безопасности.

«Лаборатория Касперского» благодарит US-CERT, румынские CERT и белорусские CERT за помощь в расследовании.

Продукты «Лаборатории Касперского», классифицированные как Blockdoor.Win32.Sputnik, успешно обнаружены, заблокированы и восстановлены.