Kaspersky Lab identifica operação Outubro Vermelho: uma nova campanha de ciber-espionagem avançada e de grandes dimensões, dirigida a organismos diplomáticos e governos de todo o mundo

14 jan 2013
Notícias de Vírus

 

  • Registaram-se mais de 55.000 ligações feitas a partir de 250 endereços IP infectados em 39 países. A maioria das ligações procedia da Suíça, seguida do Cazaquistão e da Grécia.

  • Os atacantes criaram um malware único capaz de roubar informação de sistemas informáticos de organizações, equipamentos de rede empresariais e telefones móveis.

  • Os principais alvos desta campanha são países da Europa de Leste, antigas repúblicas da URSS e países da Ásia Central, embora tenham sido detectadas vítimas também na Europa Ocidental e América do Norte.

Lisboa, 14 de Janeiro de 2013 – A Kaspersky Lab publica hoje um relatório de investigação que identifica uma nova campanha de ciber-espionagem, dirigida a organizações diplomáticas e centros de investigação científica e governamentais em vários países, que já opera há pelo menos cinco anos. Esta campanha dirige-se a países da Europa de Leste, a ex-repúblicas da antiga URSS e a países da Ásia Central, embora entre as vítimas se contem também organismos da Europa Ocidental e América do Norte.

O principal objectivo dos criadores era obter documentação sensível das organizações comprometidas, que incluíssem dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis pessoais e equipamentos de rede.

Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investigação à raiz de uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, também chamada “Rocra” pela sua sigla em inglês, ainda continua activa e já opera desde 2007.

Principais dados:

Rede de Ciber-espionagem Avançada Outubro Vermelho: Os ataques têm estado activos pelo menos desde 2007 e centram-se nas agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, grupos energéticos e nucleares, comércio e indústrias aeroespaciais. Os autores do Outubro Vermelho desenharam o seu próprio malware, identificado como "Rocra", que tem a sua própria arquitectura modular única composta por extensões, módulos maliciosos que roubam informação e Trojans backdoors.

Os cibercriminosos usavam a informação filtrada de redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista que é utilizada quando os atacantes precisam de descobrir senhas ou frases para aceder aos sistemas adicionais.

Para fazer com o controlo da rede de equipamentos infectados, criaram mais de 60 nomes de domínio e localizaram-nos em vários servidores de hosting em diferentes países, sendo a maioria na Alemanha e Rússia. A análise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxy (redes informáticas) para ocultar a localização do servidor de controlo principal.

A informação roubada nos sistemas atacados inclui documentos com as extensões: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. A extensão “acid”, concretamente, aparece para se referir ao software classificado "Acid Cryptofiler" que foi utilizado anteriormente por várias entidades, desde a União Europeia à NATO.

Vítimas infectadas
Os cibercriminosos atacavam os equipamentos das vítimas através de uma campanha de phishing que incluía um Trojan personalizado. O Trojan instalava o malware e infectava o sistema de email malicioso, incluindo exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.

Os exploits dos documentos usados para lançar os mails de phishing foram criados por outros cibercriminosos e utilizados em diferentes ciber-ataques, como os dos activistas do Tíbet e os do sector energético na Ásia. A única variação introduzida no documento utilizado pelo Rocra foi um executável integrado que os atacantes substituíram pelo seu próprio código. Em particular, um dos comandos no Trojan muda o código da página de um equipamento infectado para 1251, código requerido para representar fontes cirílicas.

Organizações e alvos
Os analistas da Kaspersky Lab usaram dois métodos para analisar as vítimas afectadas. Para isso, utilizaram primeiro as estatísticas de detecção da Kaspersky Security Network (KSN), um serviço de segurança baseado na nuvem que os produtos da Kaspersky utilizam para reportar telemetria e implementar protecção avançada para as ameaças através de listas negras e normas heurísticas.

A KSN já estava a detectar o código do exploit utilizado no malware desde 2011, o que permitiu à equipa de analistas da Kaspersky Lab rastrear detecções relacionadas com o Rocra. O segundo método utilizado pela equipa de investigação foi criar um servidor sinkhole para poder monitorizar os equipamentos infectados ligando aos servidores C2 do Rocra. Os dados recolhidos por ambos os métodos frutificaram em duas formas independentes de correlacionar e confirmar as suas conclusões:

  • Estatísticas KSN: várias centenas de sistemas únicos infectados foram detectadas através dos dados da KSN, com foco em múltiplas embaixadas, redes governamentais e organizações, institutos de investigação científica e consulados. Segundo os dados da KSN, a maioria das infecções foi identificada sobretudo na Europa de Leste, mas outras infecções foram também encontradas na América do Norte e em países da Europa ocidental, como Suíça e Luxemburgo.
  • Estatísticas Sinkhole: a análise do sinkhole da Kaspersky Lab foi levada a cabo entre Novembro de 2012 a Janeiro de 2013. Durante esse tempo, registaram-se mais de 55.000 ligações a partir de 250 endereços IP infectados, registados em 39 países. A maioria das ligações IP infectadas procedia da Suíça, seguida do Cazaquistão e Grécia.

Malware Rocra: arquitectura única e características
Os atacantes criaram uma plataforma de ataque multifuncional que incluía diferentes extensões e ficheiros maliciosos desenhados para se adaptarem rapidamente à configuração de diferentes sistemas e extrair a inteligência dos equipamentos infectados. Esta plataforma é única do Rocra e não tinha sido identificada pela Kaspersky Lab em nenhuma campanha de ciber-espionagem prévia. Entre as suas características mais destacadas encontram-se:

 

  • Módulo de ressurreição: um único módulo permite aos atacantes “ressuscitar” os equipamentos infectados. O módulo está embebido num plug-in dentro do Adobe Reader e na instalação do Microsoft Office e proporciona ao cibercriminoso uma fórmula para poder reaceder aos sistemas alvo do ataque, no caso de o corpo principal do malware ser detectado e eliminado ou se o sistema foi corrigido. Uma vez que os C2s estejam de novo operativos, o atacante envia um documento especializado (PDF ou Office) aos equipamentos das vítimas via e-mail e o malware é de novo activado.

  • Módulos de encriptação de espionagem avançada: o principal objectivo dos módulos de espionagem é o roubo de informação. Inclui ficheiros de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado em organizações como a NATO, a União Europeia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011 para proteger informação sensível.
  • Dispositivos móveis: além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile). O malware também é capaz de roubar informação sobre a configuração de equipamentos em redes corporativas como routers ou switches, bem como ficheiros apagados de discos rígidos externos.
  • Identificação do atacante: com base no registo de dados nos servidores C2 e dos numerosos “artefactos” deixados nos executáveis do malware, existe uma importante evidência técnica que indica que os atacantes têm origens relacionados com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram identificados pelos analistas da Kaspersky Lab em análises a ataques de ciber-espionagem prévios.
  • A Kaspersky Lab, em colaboração com organizações internacionais, agências da autoridade e CERTs (equipas de resposta a emergências informáticas) continua a sua investigação sobre o Rocra, facilitando a sua expertise técnica e os seus recursos para o desenvolvimento de processos de resolução e mitigação.

 

A Kaspersky Lab gostaria de expressar seu agradecimento a: US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação.

Os produtos da Kaspersky Lab detectam o malware Rocra, classificado como Backdoor.win32.sputnik, bloqueando-o e desactivando-o.

Mais informação:
http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.