红色十月 - 不再发射极光大炮!
卡巴斯基实验室今天发布了一份新报告,确定了一种新的网络间谍攻击,该攻击已在全球范围内攻击外交、政府和科学研究组织至少五年。 这一系列袭击主要针对东欧国家、前苏联成员国和中亚国家,但事件无处不在,包括西欧和北美。
攻击者旨在从组织窃取关键文件,包括地缘政治信息、访问计算机系统所需的身份验证以及来自移动设备和网络设备的个人数据。
2012年2007月,卡巴斯基实验室专家对一系列针对国际外交组织计算机系统的攻击展开调查,发现了一个大规模的网络间谍网络。根据卡巴斯基实验室的报告,红色十月行动(简称“Rocra”)仍然活跃,其开始可以追溯到XNUMX年。
主要研究成果:
Red October 是一个先进的网络间谍网络:攻击者至少自 2007 年以来一直活跃,主要针对世界各地的外交和政府机构,以及研究机构、能源和核集团以及商业和航空组织。红色十月犯罪分子开发了自己的恶意软件,卡巴斯基实验室将其识别为“Rocra”。该恶意程序具有自己独特的模块化结构,其中包含恶意扩展、专门用于数据盗窃的模块和所谓的“后门”木马,这些木马提供对系统的未经授权的访问,从而能够安装其他恶意软件并窃取个人数据。
攻击者经常使用从受感染网络中提取的信息来访问其他系统。 例如,被盗的身份验证可以提供访问其他系统所需的密码或短语的线索。
为了控制受感染机器的网络,攻击者在不同国家创建了 60 多个域名和多个服务器托管系统,其中大部分位于德国和俄罗斯。对 Rocra 的 C&C(命令与控制)基础设施的分析表明,服务器链实际上充当隐藏“母舰”(即控制服务器)位置的代理。
包含从受感染系统窃取的信息的文档具有以下扩展名:txt、csv、eml、doc、vsd、sxw、odt、docx、rtf、pdf、mdb、xls、wab、rst、xps、iau、cif、key、crt、 cer、hse、pgp、gpg、xia、xiu、xis、xio、xig、acidcsa、acidsca、aciddsk、acidpvr、acidppr、acidsa。 “acid”扩展名可能指的是“Acid Cryptofiler”软件,从欧盟到北约的许多机构都在使用该软件。
受害者
为了感染系统,犯罪分子使用个性化的特洛伊木马“dropper”(一种可以自行繁殖的病毒)向受害者发送有针对性的“鱼叉式”电子邮件。 为了安装恶意软件并感染您的系统,恶意电子邮件包含利用 Microsoft Office 和 Microsoft Excel 中的漏洞的漏洞。 网络钓鱼消息中的漏洞是由其他攻击者创建的,并在各种网络攻击中使用,包括西藏活动人士以及亚洲的军事和能源目标。 唯一让 Rocra 使用的文档与众不同的是攻击者用自己的代码替换的可嵌入可执行文件。 值得注意的是,木马植入程序中的一个命令将命令行的默认系统代码页更改为 1251,这是 Cyrillic 字体所必需的。
目标
卡巴斯基实验室专家使用两种方法来分析目标。 一方面,它们基于卡巴斯基安全网络 (KSN) 基于云的安全服务发现统计数据,卡巴斯基实验室的产品使用这些数据报告遥测数据并使用黑名单和启发式规则提供高级保护。 早在 2011 年,KSN 就检测到恶意软件中使用的漏洞利用代码,从而触发了与 Rocra 相关的额外监控流程。 研究人员的第二种方法是创建一个名为“sinkhole”的系统来跟踪连接到 Rocra 的 C&C 服务器的受感染系统。 通过两种不同方法获得的数据独立地证实了结果。
- KSN 统计:KSN 发现了数百个独特的受感染系统,其中大多数涉及大使馆、政府网络和组织、科学研究机构和领事馆。 根据 KSN 收集的数据,大多数受感染的系统起源于东欧,但在北美和西欧国家、瑞士和卢森堡也发现了事件。
- 天坑统计:卡巴斯基实验室的天坑分析从2012年2月2013日持续到10年250月55日。 在此期间,在 0000 个国家/地区记录了来自 39 个受感染 IP 地址的超过 XNUMX 个连接。 大多数受感染的 IP 连接来自瑞士、哈萨克斯坦和希腊。
Rocra 恶意软件:独特的结构和功能
攻击者创建了一个多功能平台,其中包含许多插件和恶意文件,可以轻松适应不同的系统配置并从受感染的机器中收集智力价值。 这个平台是 Rocra 独有的,卡巴斯基实验室在以前的网络间谍活动中没有发现任何类似的东西。 它的主要特点是:
- “复活”模块:这个独特的模块允许攻击者复活受感染的机器。该模块作为插件嵌入在 Adobe Reader 和 Microsoft Office 安装中,并为犯罪分子提供了一种故障安全方法,以便在发现并删除主要恶意软件主体或修补系统漏洞时重新获得对目标系统的访问权限。一旦 C&C 再次工作,攻击者就会通过电子邮件向受害者的计算机发送特殊文档文件(PDF 或 Office),从而重新激活恶意软件。
- 高级间谍模块:间谍模块的主要目的是窃取信息。 这包括来自各种加密系统的文件,例如 Acid Cryptofiler,它被北约、欧盟、欧洲议会和欧盟委员会等组织使用。
- 移动设备:除了攻击传统工作站之外,恶意软件还可以从智能手机(iPhone、诺基亚和 Windows Mobile)等移动设备中窃取数据。 此外,恶意软件还会从公司网络设备(例如路由器、交换机和可移动硬盘驱动器)中删除的文件中收集配置数据。
关于攻击者:根据 C&C 服务器的注册数据和在恶意软件的可执行文件中发现的一些残余,强有力的技术证据表明攻击者来自俄罗斯。 此外,犯罪分子使用的可执行文件直到现在都不为人所知,卡巴斯基实验室专家在他们之前的网络间谍分析中也没有识别出它们。
凭借其技术专长和资源,卡巴斯基实验室将继续与国际组织、执法机构和国家网络安全中心密切合作,对 Rocra 进行调查。
卡巴斯基实验室感谢美国 CERT、罗马尼亚 CERT 和白俄罗斯 CERT 在调查中提供的帮助。
卡巴斯基实验室产品成功归类为Blockdoor.Win32.Sputnik,已被成功检测、拦截和恢复。
