Red October – nytt skadligt program för cyberspionage

14 jan 2013
Virus News

Kaspersky Lab publicerade idag en forskningsrapport med information om det skadliga programmet för cyberspionage – med namnet Red October – som riktar sig mot diplomatiska, statliga och forskningsvetenskapliga organisationer i flera länder. Programmet har existerat i åtminstone fem år och fokuserar främst på länder i Mellanöstern, före detta Sovjetunionen och Centralasien, även om offer kan finnas var som helst i världen. Det huvudsakliga målet med attackerna har varit att samla in känsliga dokument från de utsatta organisationerna, inklusive geopolitisk underrättelseinformation, behörighetsuppgifter för tillgång till hemligstämplade datorsystem samt data från personliga mobila enheter och nätverksutrustning.

I oktober 2012 påbörjade Kaspersky Lab en utredning efter en serie attacker mot datornätverk med internationella diplomatiska tjänstebyråer som måltavlor. Ett storskaligt nätverk för cyberspionage upptäcktes och analyserades. Enligt Kaspersky Labs forskningsrapport var programmet – Red October, med förkortningen Rocra – fortfarande aktivt i januari 2013

Forskningsresultat


Programmet har varit aktivt sedan åtminstone 2007 och riktats mot diplomatiska och statliga organisationer, forskningsinstitutioner, samt olika grupper inom områdena energi, kärnkraft och rymdteknik. Programmet är egenutvecklat av personerna bakom attackerna och har en unik modulär arkitektur bestående av skadliga tillbyggnader, informationsstjälande moduler och trojaner.

Personerna bakom attackerna har ofta använt information som hämtats från infekterade nätverk för att få tillgång till ytterligare system. Exempelvis har stulna behörighetsuppgifter samlats i en lista som användes om man behövde gissa lösenord och fraser för access till andra system.

För att infektera ett system erhöll offret ett riktat email som innehåll en skräddarsydd trojan. För att kunna installera det skadliga programmet och infektera systemet utnyttjades sårbarheter i säkerhetssystemen hos Microsoft Office och Microsoft Excel.

Utöver vanliga arbetsdatorer kan det skadliga programmet stjäla data från mobila enheter, inklusive smarta mobiler (iPhone, Nokia och Windows Phone). Programmet kan även stjäla konfigurationsinformation från nätverksutrusning för företag, till exempel routrar och switchar, samt raderade filer från utbytbara hårddiskar.

Utsatta organisationer

För att utreda omfattningen av programmets skada har Kaspersky Lab använt statistik från sitt molnbaserade nätverk Kaspersky Security Network (KSN) som löpande samlar in data från företagets produkter. Företagets experter har även skapat ett så kallat sjunkhål som gör det möjligt att övervaka infekterade maskiner som ansluts till det skadliga programmets kontrollservrar.

Statistik från KSN visade att flera hundra maskiner världen över var infekterade. Till stor del hos ambassader, statliga nätverk och organisationer, forskningsinstitutioner och konsulat. Majoriteten av infekterade maskiner fanns in Östeuropa, men fall påträffades även i bland annat Nordamerika, Schweiz och Luxemburg.

Statistik från sjunkhålet visade att 55 000 anslutningar från 250 infekterade IP-adresser registrerades i 39 länder under perioden 2 november 2012 till 10 januari 2013. Flertalet infekterade IP-adresser kunde härledas till Schweiz, följt av Kazakstan och Grekland

Vilka ligger bakom?

Spår i de kontrollservrar som har använts för attackerna samt i själva programmet ger starka tekniska bevis för att personerna bakom attackerna är av rysktalande ursprung. I samarbete med flera internationella organisationer och nationella IT-säkerhetsmyndigheter fortsätter Kaspersky Lab utredningen av Red October/Rocra genom att bistå med teknisk expertis.

Hur skyddar man sig?

Kaspersky Labs säkerhetsprodukter upptäckter, blockerar och oskadliggör det skadliga programmet Red October/Rocra som klassificeras som Backdoor.Win32.Sputnik.

Mer information

Det fullständiga forskningsrapporten om Red October/Rocra går att läsa här.

 

Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.