A Kaspersky Lab olyan új kiberkémkedési akciót azonosított, amely diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, legalább öt éve. A támadássorozat elsődlegesen a kelet-európai országokat, a korábbi Szovjetunió tagjait és Közép-Ázsiát célozza, de mindenhol előfordulnak incidensek, beleértve Nyugat-Európát és Észak-Amerikát is. A támadók célja, hogy kritikus dokumentumokat lopjanak a szervezetektől, köztük geopolitikai információkat, számítógépes rendszerek hozzáféréséhez szükséges hitelesítéseket és személyes adatokat mobil eszközökről és hálózati berendezésekről.
2012 októberében a szakértők vizsgálatot indítottak egy nemzetközi diplomáciai szervezetek számítógépes rendszereit célzó támadássorozat ellen amely során egy nagyszabású kiberkémkedési hálózatra derítettek fényt. A cég szerint a Vörös Október művelet, aminek röviden a “Rocra” nevet adták, jelenleg is aktív, kezdete pedig egészen 2007-ig nyúlik vissza.
A Vörös Október egy fejlett kiberkémkedési hálózat: A támadók legalább 2007 óta aktívak és elsősorban a diplomáciai és kormányzati szervekre összpontosítanak szerte a világon, továbbá a kutatóintézetek, energetikai és nukleáris csoportok, a kereskedelmi és légügyi szervezetek is a célpontok között szerepelnek. A Vörös Október bűnözői saját kártevőt fejlesztettek ki, amit a szakemberek “Rocra” néven azonosítottak. Ennek a kártékony programnak saját, egyedi moduláris felépítése van rosszindulatú bővítményekkel, adatlopásra specializált modulokkal és úgynevezett „backdoor” trójaikkal, amik jogosulatlan hozzáférést biztosítanak a rendszerhez és így lehetővé teszik további kártevők telepítését és személyes adatok lopását.
A támadók gyakran használják a fertőzött hálózatokról kinyert információkat további rendszerek eléréséhez. Például a lopott hitelesítések támpontot adhatnak a kiegészítő rendszerek hozzáféréséhez szükséges jelszavakhoz vagy kifejezésekhez.
A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 domain nevet és számos szerver hosting rendszert hoztak létre különböző országokban, legtöbbet közülük Németországban és Oroszországban. A Rocra C&C (Command & Control) infrastruktúrájának elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxy-ként működött, hogy elrejtse az “anyahajót”, vagyis a vezérlő szerver helyét.
Áldozatok
Hogy megfertőzzék a rendszert, a bűnözők célzott „spear-phising”, vagyis lándzsahalász emailt küldtek az áldozatnak, személyre szabott trójai „dropperrel”, vagyis önállóan szaporodni tudó vírussal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony email olyan exploitokat tartalmazott, amely a Microsoft Office és Microsoft Excel biztonsági réseit használta ki. Az adathalász üzenetben lévő exploitokat más támadók hoztak létre és különböző számítógépes támadások alatt alkalmazták őket, beleértve tibeti aktivisták, valamint katonai és energetikai célpontokat Ázsiában. Az egyetlen dolog, amiben a Rocra által használt dokumentum eltér, az a beágyazható futtatható fájl, amit a támadók saját kódjukkal helyettesítettek. Figyelemre méltó, hogy az egyik parancs a Trójai dropperben megváltozatatta a parancssor alapértelmezett rendszer kódlapját 1251-re, ami a Cirill betűkészlethez szükséges.
Célpontok
A fertőzött rendszerek többsége Kelet-Európából származott, de azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is. 2012 november 2-től 2013 január 10. között 250 fertőzött IP címtől származó több mint 55 0000 kapcsolatot jegyeztek fel 39 országban. A legtöbb fertőzött IP kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.
