Ottobre rosso - I cannoni Aurora non vengono più sparati!

Kaspersky Lab ha pubblicato oggi un nuovo rapporto che identifica un nuovo attacco di spionaggio informatico che sta attaccando organizzazioni diplomatiche, governative e di ricerca scientifica in tutto il mondo da almeno cinque anni. La serie di attacchi è principalmente rivolta ai paesi dell'Europa orientale, membri dell'ex Unione Sovietica e dell'Asia centrale, ma gli incidenti si verificano ovunque, compresa l'Europa occidentale e il Nord America.

Gli aggressori mirano a rubare documenti critici dalle organizzazioni, comprese informazioni geopolitiche, autenticazioni necessarie per accedere ai sistemi informatici e informazioni personali da dispositivi mobili e apparecchiature di rete.

Nell'ottobre 2012 gli esperti di Kaspersky Lab hanno avviato un'indagine contro una serie di attacchi contro i sistemi informatici di organizzazioni diplomatiche internazionali, durante la quale hanno scoperto una rete di cyberspionaggio su vasta scala. Secondo il rapporto di Kaspersky Lab, l'operazione Ottobre Rosso, a cui è stato dato il nome abbreviato "Rocra", è ancora attiva e il suo inizio risale al 2007.

Principali risultati della ricerca:

Ottobre Rosso è una rete avanzata di spionaggio informatico: gli aggressori sono attivi almeno dal 2007 e si concentrano principalmente su agenzie diplomatiche e governative di tutto il mondo, nonché istituti di ricerca, gruppi energetici e nucleari e organizzazioni commerciali e aerospaziali. I criminali di Ottobre Rosso hanno sviluppato il proprio malware, che Kaspersky Lab ha identificato come "Rocra". Questo programma dannoso ha una propria struttura modulare unica con estensioni dannose, moduli specializzati per il furto di dati e i cosiddetti trojan "backdoor", che forniscono accesso non autorizzato al sistema e consentono quindi l'installazione di ulteriore malware e il furto di dati personali.

Gli aggressori utilizzano spesso le informazioni estratte dalle reti infette per ottenere l'accesso a sistemi aggiuntivi. Ad esempio, le autenticazioni rubate possono fornire indizi sulle password o sulle frasi necessarie per accedere a sistemi aggiuntivi.

Per controllare la rete dei computer infetti gli aggressori hanno creato più di 60 nomi di dominio e diversi sistemi hosting di server in diversi paesi, soprattutto in Germania e Russia. Un'analisi dell'infrastruttura C&C (Command & Control) di Rocra ha mostrato che la catena di server fungeva effettivamente da proxy per nascondere la posizione della "nave madre", ovvero il server di controllo.

I documenti contenenti informazioni rubate da sistemi infetti hanno le seguenti estensioni: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidsa. L'estensione "acid" può riferirsi al software "Acid Cryptofiler", utilizzato da molte istituzioni dall'Unione Europea alla NATO.

Vittime

Per infettare il sistema, i criminali hanno inviato e-mail mirate di "phishing" alla vittima con un "contagocce" Trojan personalizzato, un virus in grado di riprodursi da solo. Per installare il malware e infettare il sistema, l'e-mail dannosa conteneva exploit che sfruttavano le vulnerabilità di Microsoft Office e Microsoft Excel. Gli exploit nel messaggio di phishing sono stati creati da altri aggressori e utilizzati durante vari attacchi informatici, inclusi attivisti tibetani e obiettivi militari ed energetici in Asia. L'unica cosa che rende diverso il documento utilizzato da Rocra è il file eseguibile embeddable che gli aggressori hanno sostituito con il proprio codice. In particolare, uno dei comandi nel contagocce di Trojan ha modificato la codepage di sistema predefinita della riga di comando in 1251, necessaria per il carattere cirillico.

obiettivi

Gli esperti di Kaspersky Lab hanno utilizzato due metodi per analizzare gli obiettivi. Da un lato, si basano sulle statistiche di rilevamento dei servizi di sicurezza basati su cloud di Kaspersky Security Network (KSN), utilizzate dai prodotti Kaspersky Lab per segnalare i dati di telemetria e fornire protezione avanzata utilizzando liste nere e regole euristiche. Già nel 2011, KSN ha rilevato il codice exploit utilizzato nel malware, che ha attivato un ulteriore processo di monitoraggio relativo a Rocra. Il secondo metodo dei ricercatori era creare un sistema chiamato "sinkhole" per tracciare il sistema infetto che si collegava ai server C&C di Rocra. I dati ottenuti con i due diversi metodi hanno confermato indipendentemente i risultati.

• Statistiche KSN: il KSN ha scoperto centinaia di sistemi infetti unici, la maggior parte dei quali coinvolge ambasciate, reti e organizzazioni governative, istituti di ricerca scientifica e consolati. Secondo i dati raccolti da KSN, la maggior parte dei sistemi infetti ha avuto origine nell'Europa orientale, ma sono stati identificati incidenti anche in Nord America e nei paesi dell'Europa occidentale, in Svizzera e in Lussemburgo.
• Statistiche del sinkhole: l'analisi del sinkhole di Kaspersky Lab è durata dal 2012 novembre 2 al 2013 gennaio 10. Durante questo periodo, sono state registrate più di 250 connessioni da 55 indirizzi IP infetti in 0000 paesi. La maggior parte delle connessioni IP infette proveniva da Svizzera, Kazakistan e Grecia.

Malware Rocra: struttura e funzionalità uniche

Gli aggressori hanno creato una piattaforma multifunzionale che include una serie di plug-in e file dannosi per adattarsi facilmente a diverse configurazioni di sistema e raccogliere valore intellettuale dalle macchine infette. Questa piattaforma è unica per Rocra, Kaspersky Lab non ha visto nulla di simile nelle precedenti campagne di spionaggio informatico. Le sue caratteristiche principali sono:

• Modulo “Resurrezione”: questo modulo unico consente agli aggressori di resuscitare macchine infette. Il modulo è integrato come plug-in nelle installazioni di Adobe Reader e Microsoft Office e fornisce ai criminali un modo sicuro per riottenere l'accesso a un sistema preso di mira se il corpo principale del malware viene scoperto e rimosso o se le vulnerabilità del sistema vengono corrette. Non appena i C&C riprendono a funzionare, gli aggressori inviano via e-mail al computer della vittima uno speciale file di documento (PDF o Office) che riattiva il malware.
• Moduli spia avanzati: lo scopo principale dei moduli spia è rubare informazioni. Ciò include file di vari sistemi di crittografia, come Acid Cryptofiler, che viene utilizzato da organizzazioni come la NATO, l'Unione Europea, il Parlamento Europeo e la Commissione Europea.
• Dispositivi mobili: oltre ad attaccare le workstation tradizionali, il malware può anche rubare dati da dispositivi mobili come smartphone (iPhone, Nokia e Windows Mobile). Inoltre, il malware raccoglie i dati di configurazione dai file eliminati dai dispositivi di rete aziendali come router, switch e dischi rigidi rimovibili.

Informazioni sugli aggressori: sulla base dei dati di registrazione dei server C&C e di una serie di residui trovati nei file eseguibili del malware, forti prove tecniche indicano l'origine russa degli aggressori. Inoltre, i file eseguibili utilizzati dai criminali sono stati finora sconosciuti e gli esperti di Kaspersky Lab non li hanno identificati nelle loro precedenti analisi di spionaggio informatico.

Con le sue competenze e risorse tecniche, Kaspersky Lab continuerà a indagare su Rocra in stretta collaborazione con organizzazioni internazionali, forze dell'ordine e centri di sicurezza della rete nazionale.

Kaspersky Lab desidera ringraziare US-CERT, CERT rumeno e CERT bielorusso per la loro assistenza nell'indagine.

I prodotti Kaspersky Lab, classificati come Backdoor.Win32.Sputnik, sono stati rilevati, bloccati e ripristinati con successo.