Kaspersky Lab a identificat o campanie de spionaj vizând ţinte din domeniile diplomatic, guvernamental şi ştiinţific din mai multe ţări, potrivit unui comunicat remis romanialibera.ro.
Operaţiunea “Octombrie Roşu”, activă timp de aproximativ 5 ani, s-a derulat cu precădere în ţări din Europa de Est, state din zona fostei URSS, precum şi state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate şi în alte zone, precum Europa de Vest şi America de Nord.
Principalul obiectiv al atacatorilor a fost acela de a colecta date şi documente secrete de la organizaţiile afectate, inclusiv informaţii de importanţă geopolitică, date de acces în reţelele securizate sau clasificate şi date din dispozitive mobile şi echipamente de reţea.
O echipă de experţi a Kaspersky Lab a lansat o investigaţie în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internaţional. Pe parcursul investigaţei a fost descoperită şi analizată o amplă reţea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operaţiunea “Octombrie Roşu”, pe scurt “Rocra,” a avut o activitate susţinută încă din anul 2007 şi este în continuare activă în ianuarie 2013.
Atacatorii s-au concentrat pe agenţii diplomatice şi guvernamentale din diferite ţări, precum şi pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare şi companii comerciale şi din domeniul aerospaţial. Atacatorii din reţeaua “Octombrie Roşu” şi-au dezvoltat propria platformă de malware, identificată sub numele de “Rocra”, cu o arhitectură modulară proprie, constând în special în extensii maliţioase, module de furt de informaţii şi troieni.
Informaţia furată din reţelele infectate a fost deseori folosită pentru a obţine acces la sisteme adiţionale. De exemplu, parolele de acces si numele de utilizatori furate au fost compilate într-o listă specială şi utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locaţii.
Pentru a controla reţeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite ţări, în principal în Germania şi Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă şi control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informaţia furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile “acid*”, în particular, par a se referi la software-ul clasificat “Acid Cryptofiler”, folosit de mai multe entităţi din Uniunea Europeană şi NATO.
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip “spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul şi a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilităţi din Microsoft Word şi Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alţi dezvoltatori de malware şi mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiştilor tibetani, precum şi împotriva unor ţinte din sectoarele energetic şi militar din Asia.
