Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

14.01.2013      18:13
|

Operacija Rdeči oktober: spletno vohunjenje diplomatskih in vladnih institucij po svetu

  • A- A+

 

Kaspersky Lab je objavil novo poročilo raziskave, ki razkriva izmuzljivo kampanjo spletnega vohunjenja, ki vsaj že pet let cilja na diplomatske, vladne in znanstveno raziskovalne organizacije v več državah. Kampanja se primarno osredotoča na države Vzhodne Evrope, nekdanje republike Sovjetske zveze, in države v Srednji Aziji, čeprav lahko žrtve najdemo kjerkoli, tudi v Zahodni Evropi in v Severni Ameriki. Glavni cilj napadalcev je zbiranje občutljivih dokumentov ogroženih organizacij, ki vsebujejo geopolitično inteligenco, dovoljenja za dostop do tajnih računalniških sistemov ter podatke iz osebnih mobilnih naprav in omrežne opreme.

 

Skupina strokovnjakov iz Kaspersky Laba je v oktobru 2012 začela preiskavo vrste napadov na računalniška omrežja, usmerjenih na mednarodne diplomatske storitvene agencije. Med preiskavo so razkrili in analizirali obsežno spletno vohunsko omrežje. Kot so pri Kaspersky Labu zapisali v poročilu analize, je operacija »Rdeči oktober« (v angleščini na kratko imenovana »Rocra«) v januarju 2013 še zmeraj aktivna in je kot kampanja obstala vse od leta 2007.

 

Glavne ugotovitve raziskave o »Rdečem oktobru«

 Napadalci so bili aktivni vsaj od leta 2007 in so se - poleg raziskovalnih institucij, energetskih in jedrskih skupin ter trgovinskih in vesoljskih dejavnosti - osredotočali na diplomatske in vladne agencije iz različnih držav po vsem svetu. Napadalci iz »Rdečega oktobra« so razvili svojo zlonamerno programsko opremo, znano pod imenom »Rocra«, ki ima svojo edinstveno modularno arhitekturo, sestavljeno iz zlonamernih razširitev, modulov kraje informacij in t.i. backdoor trojanskih konjev.

 

Napadalci so informacije, pridobljene iz okuženih omrežij, pogosto uporabili kot način vstopa v dodatne sisteme. Ukradena dovoljenja so bila na primer zbrana v obliki seznama in uporabljena takrat, ko so napadalci morali ugibati gesla ali besedne zveze za dostopanje do dodatnih sistemov.

 

Napadalci so za nadzor omrežja okuženih računalnikov ustvarili več kot 60 domen in več različnih strežnikov z gostovanjem v različnih državah, pri čemer je bila večina teh v Nemčiji in Rusiji. Analiza poveljevalne in nadzorne infrastrukture zlonamernega programa Rocra, ki jo so jo naredili pri Kaspersky Labu, je pokazala, da je veriga strežnikov v resnici delovala kot proxy strežnik, da bi s tem skrili lokacijo skrbniškega glavnega nadzornega strežnika.

 

Ukradene podatke iz okuženih sistemov so sestavljali dokumenti z razširitvami: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr in acidssa. Zlasti za acid razširitev se zdi, da se sklicuje na tajno programsko opremo  Acid Cryptofilter, ki jo uporablja več organizacij, od Evropske unije do Nata.

 

Okužbe žrtev

Da bi okužili sisteme, so napadalci žrtvam poslali usmerjeno lažno elektronsko pošto, ki je vsebovala prilagojeno pošiljko trojanskega konja. Škodljivo elektronsko sporočilo je z namenom, da bi namestilo zlonamerno programsko opremo in okužilo sistem, izkoristilo tudi varnostne luknje pri varnostni opremi za ranljivosti znotraj Microsoft Offica in Microsoft Excela. Izkoriščanje varnostnih lukenj pri dokumentih, ki so bili uporabljenih v lažnih elektronskih sporočilih, so razvili drugi napadalci. Izvedeli so jih v času drugih spletnih napadov, vključno z tibetanskimi aktivisti ter vojaškimi in energetskimi sektorji v Aziji. Edina sprememba v dokumentu, ki ga je uporabila Rocra, je sprememba vgrajene izvršitve, ki so jo napadalci zamenjali s svojo kodo. Eden od ukazov za namestitev trojanskega konja je prevzeti sistem kodne strani pri ukazni vrstici zasedanja spremenil v 1251, kar je potrebno za omogočanje pisanja v cirilici. 

 

Ciljane žrtve in organizacije

Strokovnjaki iz Kaspersky Laba so za analizo ciljanih žrtev uporabili dve metodi. Naprej so uporabili statistiko zaznavanja Kasperskyjevega varnostnega omrežja (KSN), tj. varnostne storitve računalništva v oblakih, prek katere izdelki Kaspersky Laba poročajo o telemetriji in napredni zaščiti pred nevarnostmi v obliki črnih seznamov in hevrističnih pravil. KSN je kode za izkoriščanje pri zlonamernih programih prepoznaval že v letu 2011, kar je strokovnjakom Kaspersky Laba omogočilo iskanje podobnih zaznav, povezanih z Rocro. Druga metoda, ki jo je uporabila raziskovalna skupina Kaspersky Laba, je bilo ustvarjanje sinkhole strežnika. S tem so lahko spremljali okužene računalnike, ki so bili povezani z Rocrinimi strežniki C2. Podatke, ki so jih pridobili z analizo pri obeh metodah, so pomenili dva načina za povezovanje in potrjevanje njihovih ugotovitev.

  • Statistika KSN: KSN je prepoznal več 100 edinstvenih okuženih sistemov, pri čemer se je osredotočal na več veleposlaništev, vladnih omrežij in organizacij, znanstveno raziskovalnih institucij ter konzulatov. Po podatkih KSN-ja je bila večina okužb odkritih v Vzhodni Evropi, okužbe pa so bile prepoznane tudi v Severni Ameriki in v državah Zahodne Evrope, kot sta Švica in Luksemburg.
  • Statistika »sinkhole«: Kaspersky Labova sinkhole analiza je potekala od 2. novembra 2012 do 10. januarja 2013. V tem času je bilo odkritih več kot 55.000 povezav s 150 okuženih IP naslovov v 39 državah. Večina okuženih IP povezav je prihajala iz Švice, sledila sta Kazahstan in Grčija.

Zlonamernost Rocre: edinstvena arhitektura in funkcionalnost

Napadalci so ustvarili multifunkcionalno platformo napadov, ki jo sestavlja več razširitev in škodljivih datotek, namenjenih hitremu prilagajanju različnih sistemskih konfiguracij in dobri inteligenci zbiranja podatkov na okuženih računalnikih. Ta platforma je za Rocro edinstvena in Kaspersky Lab je v prejšnjih kampanjah spletnega vohunjenja še ni prepoznal. Med pomembne lastnosti spadajo:

  • Modul »vstajenja«: Edinstveni modul, ki napadalcem omogoča ponovno »vstajenje« na okuženih računalnikih. Modul je vgrajen kot priključek znotraj namestitev Adobe Readerja in Microsoft Offica in napadalcem zagotavlja varen način dostopanja do ciljnega sistema v primeru, da je osrednje zlonamerno telo prepoznano ali odstranjeno ali če je sistem zakrpan. Ko C2 postane ponovno operativen, napadalci žrtvi prek elektronske pošte pošljejo specializiran dokument (PDF ali Office dokument), ta pa znova aktivira zlonamerni program.
  • Napredni kriptografski modul vohunjenja: Glavni namen modulov za vohunjenje je kraja podatkov. To vključuje datoteke iz različnih kriptografskih sistemov, kot je Acid Cryptofiler, za katerega je znano, da se od poletja 2011 naprej uporablja v organizacijah Nata, Evropske unije, Evropskega parlamenta in Evropske komisije za varovanje občutljivih informacij.
  • Mobilne naprave: Zlonamerna programska oprema je poleg usmerjenosti na tradicionalne delovne postaje zmožna kraje podatkov iz mobilnih naprav, kot so pametni telefoni (iPhone, Nokia in Windows Mobile). Zlonamerni program je zmožen tudi kraje podatkov o konfiguraciji iz naprav poslovnih omrežij, kot so ruterji, pa tudi izbrisane datoteke z zunanjih diskov.
  • Odkrivanje napadalcev: Na podlagi podatkov registracije na strežnikih C2 in številnih drugih artefaktov, ki so nastali pri izvajanju zlonamernosti, obstaja močan tehničen dokaz, da napadalci izvirajo iz rusko govorečega okolja. Izvedbe, ki so jih uporabili napadalci, so bile do nedavnega še neznane in jih strokovnjaki iz Kaspersky Laba pri analiziranju predhodnih napadov spletnega vohunjenja niso prepoznali.

Celotno raziskovalno poročilo strokovnjakov iz Kaspersky Laba o Rocri lahko preberete na povezavi: Securelist.




Povezave:Securelist






KOMENTIRAJ

X


ANKETA
Arhiv anket

Kako je tehnologija spremenila vaše življenje?










>>
Kako drastično je tehnologija spremenila svet?

ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Zelo slaba novica za lastnike najboljšega pre... 44
ice.caj.tea  |  Joj sori, ampak nimam več živcev za tole...
Kdaj lahko pričakujete Android 7.0 Nougat na ... 1
Potato  |  Čist nč novga hahahha xD kot na večini n...
Zelo slaba novica za lastnike najboljšega pre... 44
Uroš Bilbija  |  Očitno ti ne razumeš, da je nesmiselno p...
Poglejte, kaj vse se skriva v novem Microsoft... 1
FerdoPiš  |  Če kopiraš Apple, potem mora bit tud tež...
Bi kupili prenosnik za 15.000 evrov? 5
Justin.Forfunky  |  Skupaj s počitniško hišo, da ga prenašaš...
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK