Informacja prasowa - Rzecznik prasowy Strona Główna

INFORMACJA PRASOWA
Kaspersky Lab zidentyfikował operację „Red October”,
zaawansowaną kampanię cyberszpiegowską wymierzoną przeciwko
instytucjom dyplomatycznym i rządowym na całym świecie
Osoby atakujące stworzyły unikatowe, niezwykle elastyczne szkodliwe
oprogramowanie w celu kradzieży danych oraz informacji geopolitycznych
z systemów komputerowych ofiar, telefonów komórkowych oraz korporacyjnego
sprzętu sieciowego
Częstochowa, 14 stycznia 2013 r. – Kaspersky Lab opublikował dzisiaj nowy
raport badawczy opisujący kampanię cyberszpiegowską, w ramach której przez
co najmniej pięć lat atakowane były dyplomatyczne, rządowe i naukowe
organizacje badawcze w kilku państwach. Wprawdzie na celowniku znajdowały
się przede wszystkim państwa w Europie Wschodniej, byłe republiki Związku
Radzieckiego oraz państwa z Azji Środkowej, ofiary były rozproszone po całym
świecie, łącznie z Europą Zachodnią i Ameryką Północną. Głównym celem osób
atakujących było gromadzenie poufnych dokumentów atakowanych organizacji,
które obejmowały informacje geopolityczne, dane uwierzytelniające dostęp do
poufnych
systemów
komputerowych
oraz
dane
z
prywatnych
urządzeń
mobilnych i sprzętu sieciowego.
W październiku 2012 roku zespół ekspertów z Kaspersky Lab rozpoczął dochodzenie
w odpowiedzi
na
serię
ataków
na
sieci
komputerowe,
których
celem
były
międzynarodowe agencje służb dyplomatycznych. Podczas dochodzenia wykryto
i przeanalizowano zakrojoną na dużą skalę sieć cyberszpiegowską. Według raportu
z analizy przeprowadzonej przez Kaspersky Lab w styczniu 2013 roku operacja Red
October, nazywana w skrócie „Rocra”, nadal jest aktywnie prowadzona, a jej początki
sięgają aż 2007 roku.
Główne wyniki badania
Zaawansowana sieć cyberszpiegowska operacji Red October
Osoby atakujące działały przynajmniej od 2007 roku i koncentrowały się na
dyplomatycznych oraz rządowych agencjach z różnych krajów, jak również instytucjach
Strona 1
badawczych, grupach z sektora energetycznego i nuklearnego oraz celach z zakresu
przestrzeni
powietrzno-kosmicznej.
Osoby
stojące
za
operacją
Red
October
zaprojektowały własne szkodliwe oprogramowanie, określane jako „Rocra”, które
posiadało unikatową architekturę modułową złożoną ze szkodliwych rozszerzeń,
modułów odpowiedzialnych za kradzież informacji oraz trojanów backdoorów.
Osoby
atakujące
często
wykorzystywały
informacje
wyprowadzane
skrycie
z zainfekowanych sieci w celu uzyskania dostępu do dodatkowych systemów. Na
przykład,
skradzione
dane
uwierzytelniające
zostały
skompilowane
w
listę
i wykorzystywane w sytuacji, gdy osoby atakujące musiały znać hasła lub frazy w celu
uzyskania dostępu do dodatkowych systemów.
Aby kontrolować sieć zainfekowanych maszyn, osoby atakujące stworzyły ponad 60
nazw domen i kilka lokalizacji hostingu serwerów w różnych państwach, w większości
w Niemczech i Rosji. Przeprowadzona przez Kaspersky Lab analiza infrastruktury
kontrolnej pokazuje, że łańcuch serwerów w rzeczywistości działał jako proxy,
ukrywając lokalizację serwerów „statku matki”, czyli najważniejszego centrum kontroli.
Informacje
skradzione
z
zainfekowanych
systemów
obejmują
dokumenty
o rozszerzeniach txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps,
iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk,
acidpvr, acidppr i acidssa. Wydaje się, że rozszerzenie “acid*” odnosi się do
zastrzeżonego oprogramowania „Acid Cryptofiler”, które jest wykorzystywane przez
kilka organizacji, od Unii Europejskiej po NATO.
Infekowanie ofiar
Aby zainfekować systemy, osoby atakujące wysyłały do ofiary ukierunkowany e-mail
phishingowy (tzw. spearphishing), który zawierał specjalnie dostosowanego trojana
pozwalającego na zainstalowanie w atakowanym systemie konkretnego szkodliwego
programu. W celu zainstalowania szkodliwego oprogramowania i zainfekowania
systemu szkodliwy e-mail zawierał exploity wykorzystujące luki w zabezpieczeniach
w Microsoft Office oraz Microsoft Excel. Exploity z dokumentów wykorzystywanych w emailach phishingowych zostały stworzone przez innych cyberprzestępców i były
stosowane podczas innych cyberataków, między innymi na aktywistów tybetańskich
oraz cele z sektora wojskowego i energetycznego w Azji. Jedyną rzeczą, która została
Strona 2
zmieniona w dokumencie wykorzystanym w operacji Rocra, był osadzony plik
wykonywalny, który osoby atakujące zastąpiły własnym kodem. W szczególności, jedno
z poleceń w trojanie instalującym szkodliwe oprogramowanie zmieniało domyślną
stronę kodową systemu sesji wiersza poleceń na 1251, która jest niezbędna do obsługi
czcionki Cyrylica.
Atakowane ofiary i organizacje
Eksperci z Kaspersky Lab zastosowali dwie metody analizy ofiar ataków. Po pierwsze,
wykorzystali statystyki wykrywania dostarczone przez system Kaspersky Security
Network
(KSN),
który
stanowi
opartą
na
chmurze
usługę
bezpieczeństwa
wykorzystywaną przez produkty Kaspersky Lab w celu zapewnienia zaawansowanej
ochrony
przed
zagrożeniami.
KSN
wykrywał
kod
exploita
wykorzystywany
w omawianym szkodliwym oprogramowaniu już w 2011 roku, co pozwoliło ekspertom
z Kaspersky Lab szukać podobnych wykrytych zagrożeń związanych z Rocra. Druga
metoda zastosowana przez zespół badawczy Kaspersky Lab polegała na stworzeniu
serwera leja (tzw. sinkhole) pozwalającego monitorować zainfekowane maszyny
podłączone do serwerów kontroli Rocra. Dane otrzymane przy użyciu obu metod
zapewniły dwa niezależne sposoby skorelowania i potwierdzenia ich wyników.

Statystyki z systemu KSN: Na podstawie danych z systemu KSN wykryto
kilkaset unikatowych zainfekowanych systemów, należących głównie do
ambasad, sieci i organizacji rządowych, naukowych instytutów badawczych oraz
konsulatów. Według danych systemu KSN, większość zidentyfikowanych infekcji
było zlokalizowanych głównie w Europie Wschodniej, ale wykryto je również
w Ameryce Północnej i państwach Europy Zachodniej, takich jak Szwajcaria
i Luksemburg.

Statystyki z leja: Przeprowadzona przez Kaspersky Lab analiza leja trwała od 2
listopada 2012 roku do 10 stycznia 2013 roku. W tym czasie zarejestrowano
ponad 55 000 połączeń z 250 zainfekowanych adresów IP w 39 krajach.
Większość zainfekowanych połączeń IP pochodziło ze Szwajcarii, a w dalszej
kolejności z Kazachstanu i Grecji.
Strona 3
Szkodliwe oprogramowanie Rocra: unikatowa architektura i funkcjonalność
Osoby atakujące stworzyły wielofunkcyjną platformę do przeprowadzania ataków
obejmującą kilka rozszerzeń i szkodliwych plików pozwalających na szybkie
dostosowanie
do
konfiguracji
różnych
systemów
oraz
zbieranie
informacji
z zainfekowanych maszyn. Platforma ta jest unikatowa i nie została zidentyfikowana
przez Kaspersky Lab w żadnych wcześniejszych kampaniach cyberszpiegowskich. Jej
najważniejsze cechy to:

Moduł „wskrzeszania”: Unikatowy moduł, który pozwala osobom atakującym
„wskrzesić” zainfekowane maszyny. Moduł ten jest osadzony jako wtyczka
w instalacjach aplikacji Adobe Reader oraz Microsoft Office i umożliwia osobom
atakującym pewny sposób odzyskania dostępu do atakowanego systemu
w przypadku wykrycia i usunięcia głównego kodu szkodliwego oprogramowania
lub załatania systemu. Po przywróceniu działania serwerów kontroli osoby
atakujące wysyłają na maszyny ofiar specjalistyczny plik dokumentu (PDF lub
dokument Office) za pośrednictwem wiadomości e-mail, który po raz kolejny
uaktywnia szkodliwe oprogramowanie.

Zaawansowane kryptograficzne moduły szpiegowskie: Głównym celem
modułów szpiegowskich jest kradzież informacji. Obejmują one pliki z różnych
systemów kryptograficznych, takich jak Acid Cryptofiler, który od lata 2011 roku
wykorzystywany jest w organizacjach NATO, Unii Europejskiej, Parlamentu
Europejskiego oraz Komisji Europejskiej w celu ochrony poufnych informacji.

Urządzenia mobilne: Oprócz atakowania tradycyjnych stacji roboczych
szkodnik ten potrafi kraść dane z urządzeń mobilnych, takich jak smartfony
(iPhone, Nokia oraz Windows Mobile). Ponadto jest w stanie wykraść informacje
dotyczące konfiguracji z korporacyjnego sprzętu sieciowego, takiego jak routery
i przełączniki, jak również usunięte pliki dysków wymiennych.

Identyfikacja osób atakujących: Na podstawie danych rejestracyjnych
serwerów kontroli i licznych pozostałości w plikach wykonywalnych szkodliwego
oprogramowania istnieje mocny dowód techniczny wskazujący na to, że osoby
atakujące pochodzą z krajów rosyjskojęzycznych. Ponadto, pliki wykonywalne
wykorzystywane przez osoby atakujące były aż do niedawna nieznane i nie
zostały zidentyfikowane przez ekspertów z Kaspersky Lab podczas analizy
wcześniejszych ataków cyberszpiegowskich.
Strona 4
Kaspersky Lab we współpracy z organizacjami międzynarodowymi, organami ścigania
oraz zespołami CERT nadal prowadzi dochodzenie dotyczące Rocra, dostarczając
wiedzę techniczną i zasoby niezbędne do procedur naprawczych i łagodzących skutki.
Eksperci z Kaspersky Lab dziękują amerykańskiemu, rumuńskiemu i białoruskiemu
zespołowi CERT za pomoc w dochodzeniu.
Produkty firmy Kaspersky Lab wykrywają i blokują szkodnika Rocra, który jest
klasyfikowany jak Backdoor.Win32.Sputnik.
Pełny raport dotyczący analizy kampanii cyberszpiegowskiej Red October jest dostępny
w
Encyklopedii
Wirusów
VirusList.pl
prowadzonej
przez
Kaspersky
Lab:
http://www.viruslist.pl/analysis.html?newsid=736.
Informację oraz raport można wykorzystać dowolnie z zastrzeżeniem podania firmy
Kaspersky Lab jako źródła.
Dalszych informacji udziela:
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
[email protected]
tel.: 0 801 000 215, (34) 368 18 14
tel. kom.: 518 935 846
Informacje o Kaspersky Lab
Kaspersky Lab jest największą na świecie prywatną firmą tworzącą rozwiązania do
ochrony punktów końcowych. Firma znalazła się w pierwszej czwórce producentów
rozwiązań bezpieczeństwa punktów końcowych w klasyfikacji ogólnoświatowej*. Od 15
lat swojej działalności Kaspersky Lab pozostaje innowatorem w dziedzinie
bezpieczeństwa IT i oferuje skuteczne rozwiązania bezpieczeństwa cyfrowego dla
klientów indywidualnych, firm z sektora SMB oraz przedsiębiorstw. Obecnie firma działa
w prawie 200 krajach na całym świecie, zapewniając ochronę ponad 300 milionom
użytkowników. Polski oddział firmy istnieje od 2001 r. Więcej informacji można uzyskać
na stronie www.kaspersky.pl.
Facebook: http://www.facebook.com/KasperskyLabPolska
Twitter: http://www.twitter.com/KasperskyLabPL
Blip: http://kasperskylabpolska.blip.pl
YouTube: http://www.youtube.com/KasperskyLabPL
Google+: http://plus.google.com/b/106840833840919366574/106840833840919366574
*Firma uplasowała się na czwartym miejscu w rankingu IDC „Worldwide Endpoint Security Revenue by Vendor, 2010”.
Ranking ten został opublikowany w raporcie „IDC Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor
Shares – grudzień 2011”. W raporcie producenci oprogramowania zostali uszeregowani według wysokości dochodów ze
sprzedaży rozwiązań bezpieczeństwa punktów końcowych w 2010 r.
Strona 5