Операция 'Red October' - обширная сеть кибершпионажа против дипломатических и государственных структур |
http://www.securelist.com/ru/blog/207764382/Operat...hpionazha_protiv_diplomatiches
от 14 янв 2013
securelist.com
Сегодня мы публикуем первую часть отчета о нашем исследовании «Red October». В ближайшие дни будет опубликована и вторая часть, содержащая детальное техническое описание всех известных модулей Sputnik. Следите за новостями!
Несколько месяцев эксперты ‘Лаборатории Касперского’ анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.
Эта операция, которую мы назвали ‘Red October’ (в сокращении ‘Rocra’) продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.
Несколько ключевых фактов, обнаруженных в ходе нашего расследования:
Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).
Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются ‘Лабораторией Касперсого’ как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.
Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.
Мы обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.
Фото с securelist.com
Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы Red October только заменяли исполняемые файлы в документах на свои.
В ходе последовательного распространения в локальной сети жертвы, атакующие внедряли модуль для сканирования сети с целью поиска станций, уязвимых для эксплойта к MS08-067 (уязвимость, использованная червем Conficker) или доступных при помощи администраторского аккаунта и собственной базы паролей. Отдельный модуль использовался для сбора информации для заражения серверов в той же сети.
Регистрационные данные серверов управления и различные ‘артефакты’, оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие — русскоязычные.
Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы.
FAQ:
Что такое Red October?
Red October — это серия целевых атак, которые происходили как минимум на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям:
Весьма возможно, что существуют и другие категории организаций-мишеней, которые еще не были нами выявлены или были атакованы в прошлом.
Как и когда эта операция была обнаружена?
Мы начали наше исследование атак в октябре 2012 года по просьбе одного из наших партнеров. В ходе анализа атаки, писем и вредоносных модулей, мы обнаружили истинные размеры кампании и начали её полномасштабное расследование.
Кто предоставил вам вредоносные файлы?
Мы получили их от нашего партнера, который и был заказчиком исследования. Он предпочитает оставаться анонимным.
Как много зараженных систем было обнаружено ‘Лабораторией Касперского’? Сколько всего может быть жертв? Каков размах операции Red October в глобальном масштабе?
За последние месяцы мы обнаружили несколько сотен заражений по всему миру — все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения мы идентифицировали, в основном, в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например, в Люксембурге и Швейцарии.
Основываясь на данных, полученных при помощи Kaspersky Security Network (KSN), мы составили список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik (включены страны с 5 и более заражениями):
|
Страна |
Число заражений |
|
Россия |
38 |
|
Казахстан |
21 |
|
Азербайджан |
15 |
|
Бельгия |
15 |
|
Индия |
14 |
|
Афганистан |
10 |
|
Армения |
10 |
|
Иран |
7 |
|
Туркменистан |
7 |
|
Украина |
6 |
|
США |
6 |
|
Вьетнам |
6 |
|
Белоруссия |
5 |
|
Греция |
5 |
|
Италия |
5 |
|
Марокко |
5 |
|
Пакистан |
5 |
|
Швейцария |
5 |
|
Уганда |
5 |
| Объединенные Арабские Эмираты |
5 |
Кто скрывается за этой атакой? Эти атаки были организованы при поддержке какого-то государства?
Информация, которой мы обладаем, не дает возможности прямого определения какого-либо специфического источника атаки, однако мы выделяем два важных факта:
Используемые эксплойты изначально были созданы китайскими хакерами.
Вредоносные модули Red October были созданы русскоязычными специалистами.
В настоящий момент у нас нет фактов, свидетельствующих о прямом участии в этой атаке какого-либо государства. Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на ‘черном рынке’ и продана любому, кто предложит наиболее высокую цену.
Есть какие-нибудь интересные тексты в файлах, на основании которых можно предположить происхождение атакующих?
Несколько модулей содержат интересные опечатки и ошибки:
network_scanner: «SUCCESSED», «Error_massage», «natrive_os», «natrive_lan»
imapispool: «UNLNOWN_PC_NAME», «WinMain: error CreateThred stop»
mapi_client: «Default Messanger», «BUFEER IS FULL»
msoffice_plugin: «my_encode my_dencode»
winmobile: «Zakladka injected», «Cannot inject zakladka, Error: %u»
PswSuperMailRu: «——-PROGA START——», «-PROGA END-»
Использованное здесь слово PROGA, возможно, является транслитерацией русского слова ПРОГА, которое на жаргоне русскоговорящих программистов означает буквально приложение или программу.
Слово ‘Zakladka’ имеет два значения в русском языке:
Книжная закладка
Специфический термин в отношении скрытого функционала в программе или устройстве. Так же можно назвать микрофон, спрятанный внутри кирпича в стене посольства.
C++ class, который содержит конфигурацию параметров для C&C, называется «MPTraitor», и соответствующая конфигурационная секция в ресурсах называется «conn_a». Несколько примеров:
conn_a.D_CONN
conn_a.J_CONN
conn_a.D_CONN
conn_a.J_CONN
Какая информация похищается из зараженных систем?
Информация включает в себя документы с расширениями:
txt, csv, eml, doc, vsd, sxw, odt,
docx,rtf, pdf, mdb, xls, wab, rst, xps, iau,
cif,key, crt, cer,hse, pgp, gpg, xia, xiu,
xis, xio,xig, acidcsa, acidsca, aciddsk,acidpvr,
acidppr, acidssa.
В частности, расширение «acid*» принадлежит секретному программному обеспечению для шифрования «Acid Cryptofiler», которое используется в некоторых структурах Евросоюза и NATO.
Что является целью операции? Что они искали, проводя эти атаки так много лет?
Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга, и неизвестно, как эта информация была использована.
Каков механизм заражения? Имеется ли функционал самораспространения? Как это работает?
Основной модуль вредоносного комплекса выполняет функцию ‘точки входа’ в систему и позволяет загрузить дополнительные модули для следующих стадий атаки. После начального заражения сам по себе вредоносный модуль в сети не распространяется. Обычно
| Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |
