Кампания «Красный Октябрь» - передовая операция по кибершпионажу с участием дипломатических учреждений и государственных учреждений

GReAT (Группа глобальных исследований и анализа), Лаборатория Касперского

За последние пять лет чрезвычайно продвинутая кампания по кибершпионажу привела к проникновению в компьютерные сети дипломатических учреждений, правительственных учреждений и научных организаций, что привело к мощной утечке данных и информации о мобильных устройствах, компьютерных системах и сетевых устройствах.

Исследователи из «Лаборатории Касперского» провели несколько месяцев, анализируя вредоносные программы, которые предназначались для конкретных организаций, главным образом в Восточной Европе, бывшем СССР и странах Центральной Азии, а также в Западной Европе и Северной Америке.

Кампания, называемая «Rocra» (сокращенно «Красный Октябрь»), по-прежнему является активной угрозой, а украденные данные по-прежнему отправляются на многие активные серверы управления (C & C) благодаря конфигурации, которая в силу сложности инфраструктуры повышает даже угроза под названием Flame [http://www.viruslist.pl/weblog.html?weblogid=792]. Регистрационные данные, использованные для покупки доменных имен C & C и временных отметок EP в собранных образцах, позволяют предположить, что атаки Rocra начались в мае 2007 года.

Карта жертв кампании «Красный Октябрь» (нажмите, чтобы увеличить)
Карта жертв кампании «Красный Октябрь» (нажмите, чтобы увеличить)

Некоторые ключевые результаты нашего исследования:

  • Злоумышленники были активны в течение не менее пяти лет, сосредоточившись на дипломатических и правительственных учреждениях различных стран мира. Информация, собранная из зараженных сетей, используется в последующих атаках. Например, украденные логины собираются в один список и используются, когда злоумышленники хотят угадать пароли и сетевые учетные данные в других местах / местах цели. Чтобы контролировать сеть зараженных машин, злоумышленники создали более 60 доменных имен и несколько хостинговых серверов в разных странах (в основном в Германии и России). Инфраструктура C & C на самом деле представляет собой сеть серверов, которые действуют как прокси и скрывают местоположение реального «материнского корабля», главного управляющего сервера.
  • Злоумышленники создали многофункциональную платформу, которая может использовать расширения функций для сбора различных типов данных. Система устойчива к захвату C & C-сервера и позволяет злоумышленнику восстановить доступ к зараженным компьютерам после использования альтернативных каналов связи.
  • Помимо традиционных целей атаки (в основном рабочие станции), система способна похищать данные с мобильных устройств (iPhone, Nokia, Windows Mobile); выполнение дампов конфигурации сетевого оборудования (Cisco); извлечение файлов со съемных носителей (в том числе использование пользовательской процедуры восстановления файлов для кражи данных, которые уже были удалены); кража почтовых баз данных из локальных репозиториев Outlook или удаленного POP / IMAP-сервера и загрузка файлов с FTP-серверов в локальной сети.
  • Мы наблюдали использование как минимум трех различных эксплойтов для ранее известных уязвимостей: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word). Самые ранние известные атаки использовали эксплойт для MS Excel и имели место в период между 2010 и 2011 годами, а атаки, использующие уязвимость в приложении MS Word, появились летом 2012 года.

  • Эксплойты из документов, использованных в кампаниях по фишинговому фишингу, были созданы другими злоумышленниками и использовались во время различных кибератак против тибетских активистов, а также целей из энергетического и военного сектора в Азии. Единственное, что изменилось, - это исполняемый файл, который был внедрен в документ - злоумышленники заменили его своим собственным кодом.
    Пример фальсифицированного изображения, использованного в одной из фишинговых атак во время кампании Rocra

  • Во время перекрестного трафика в сети жертвы злоумышленники развернули модуль для активного сканирования локальной сети, обнаружили узлы с уязвимостями MS08-067 (это уязвимость, используемая вредоносной программой Conficker) или доступные с учетными данными администратора из базы данных украденных паролей. Другой модуль использовал собранную информацию для заражения удаленных хостов в той же сети.
  • Основываясь на регистрационных данных серверов C & C и многочисленных «остатках» в исполняемых файлах вредоносных программ, мы убеждены, что злоумышленники имеют русскоязычные корни. Текущие атаки и исполняемые файлы, разработанные этими злоумышленниками, не были известны до недавнего времени, а сами злоумышленники никогда не были связаны с какими-либо другими кибератаками. Стоит подчеркнуть, что одна из инструкций в троянском загрузчике перед установкой изменяет кодовую страницу зараженной машины на 1251. Это необходимо для адресации файлов и каталогов, имена которых содержат символы кириллицы.

Что такое Рокр? Откуда появилось это имя? Направлена ​​ли деятельность Рокрака на конкретные отрасли промышленности, организации или географические регионы?

Rocra (сокращение от «Красный Октябрь») - целенаправленная и агрессивная кампания, которая продолжается уже не менее пяти лет. Сотни жертв во всем мире были заражены в семи основных категориях во время этой кампании:

  1. правительство
  2. Дипломатические миссии / посольства
  3. Научно-исследовательские учреждения
  4. Торговля и ремесло
  5. Исследования по ядерной энергии
  6. Нефтегазовые компании
  7. Воздушное пространство

Вполне возможно, что существуют другие целевые сектора, которые еще не были раскрыты, но подвергались нападениям в прошлом.

Как и когда была обнаружена кампания?

Мы начали расследование атак Rocra в октябре 2012 года по просьбе одного из наших партнеров. Анализируя атаки, фишинговые кампании и вредоносные модули, мы поняли масштаб этой кампании и начали более тщательно ее анализировать.

Кто предоставил вам образцы?

Наш партнер, который первоначально указал нам образцы этого вредителя, предпочитает оставаться анонимным.

Сколько зараженных компьютеров было выявлено «Лабораторией Касперского»? Каково общее количество жертв? Каков примерный размер операции «Красный Октябрь» в мировом масштабе?

За последние несколько месяцев мы насчитали несколько сотен инфекций по всему миру - все они произошли в очень важных местах, таких как правительственные сети и дипломатические учреждения. Выявленные нами инфекции распространяются в основном в Восточной Европе, но есть также сообщения из Северной Америки и стран Западной Европы, таких как Швейцария и Люксембург.

На основе нашей сети Kaspersky Security Network (KSN) мы предоставляем список стран с наибольшим количеством заражений (только в тех местах, где мы зарегистрировали более 5 жертв):

СтранаКоличество инфекций

РОССИЯ 38 КАЗАХСТАН 21 БЕЛЬГИЯ 16 АЗЕРБАЙДЖАН 15 ИНДИЯ 14 АФГАНИСТАН 10 АРМЕНИЯ 10 ТУРКМЕНИСТАН 9 ИРАН 7 УКРАИНА 6 США 6 ВЬЕТНАМ 6 БЕЛАРУСЬ 5 ГРЕЦИЯ 5 ИТАЛИЯ 5 МАРОККО 5 ПАКИСТАН 5 ШВЕЙЦАРИЯ 5

Информацию о статистике из бункера можно найти ниже.

Кто стоит за этой операцией? Это спонсируемая правительством атака?

Информация, которую мы собрали до сих пор, показывает, что кампания, похоже, не привязана к какому-либо конкретному месту, но следует выделить два важных фактора:

  • Похоже, что эксплойты созданы китайскими хакерами.
  • Модули Rocra были созданы русскоязычными операторами.

В настоящее время нет никаких доказательств, чтобы связать эту атаку с финансируемой правительством операцией. Конечно, украденная злоумышленниками информация находится на самом высоком уровне и включает в себя геополитические данные, которые могут использоваться правительствами разных стран. Но такая информация также может продаваться в подполье киберпреступности и продаваться по самой высокой цене, которую можно заплатить где угодно.

Есть ли в коде этой вредоносной программы какие-нибудь интересные заметки, которые могли бы подсказать, кто является злоумышленниками?

Несколько модулей Rocra содержат интересные опечатки и орфографические ошибки:

  • network_scanner: "SUCCESSED", "Error_massage", "natrive_os", "natrive_lan"
  • imapispool: «UNLNOWN_PC_NAME», «WinMain: ошибка CreateThred stop»
  • mapi_client: "Мессенджер по умолчанию", "BUFEER IS FULL"
  • msoffice_plugin: "my_encode my_dencode"
  • winmobile: «вкладка введена», «Невозможно ввести вкладку, ошибка:% u»

В частности, слово «Закладка» по-русски может означать:

  • «Закладка»
  • (более вероятно) важность сленга «незарегистрированная функциональность», например, программного или аппаратного обеспечения. Однако это также может означать встроенный в кирпичи здания посольства микрофон.

Класс C ++, в котором хранятся параметры конфигурации C & C, называется «MPTraitor», а соответствующая часть в конфигурации ресурса называется «conn_a». Несколько примеров:

  • conn_a.D_CONN
  • conn_a.J_CONN
  • conn_a.D_CONN
  • conn_a.J_CONN

Какую информацию получают с зараженных компьютеров?

Информация, украденная из зараженных систем, включает документы со следующими расширениями: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa . В частности, расширения «acid ***», по-видимому, относятся к классифицированному программному обеспечению «Acid Cryptofiler» , которое используется несколькими организациями, такими как Европейский Союз или НАТО.

Какова цель этой операции? Какую информацию ищут злоумышленники при проведении этой кибершпионажной кампании, которая продолжается уже много лет?

Основной целью деятельности кампании является сбор секретной информации и данных геополитической разведки. Однако, похоже, что возможности для сбора информации шире. За последние пять лет злоумышленники собирали информацию от сотен «важных» жертв, хотя неизвестно, как эта информация использовалась. Вполне возможно, что определенная информация продается на черном рынке или используется непосредственно для шантажа или нанесения большего ущерба.

Каковы механизмы заражения этой вредоносной программой? Обладает ли он свойствами самораспространения? Как это работает? Разработчики разработали собственную платформу для атак?

Основной код вредоносного ПО действует как точка входа в систему, через которую модули, используемые для бокового перемещения в сети, могут быть загружены позже. После первоначального заражения вредоносное ПО не распространяется само по себе - обычно злоумышленники собирают информацию о сети в течение нескольких дней, идентифицируют ключевые системы, а затем внедряют модули, которые могут поставить под угрозу другие компьютеры в сети, например, будучи уязвимыми для эксплойта MS08-067.

В целом, платформа Rocra предназначена для выполнения «задач», которые предоставляются серверами C & C. Большинство задач доставляются в виде одноразовых библиотек PE, которые загружаются с сервера, запускаются в памяти и немедленно удаляются.

Однако в системе должно постоянно присутствовать несколько задач, например, ожидание подключения iPhone или телефона Nokia. Эти задачи поставляются в виде PE EXE-файлов, установленных на зараженном компьютере.

Примеры «постоянных» заданий:

  • После подключения USB-накопителя найдите и извлеките файлы (включая удаленные) в соответствии с маской / форматом. Удаленные файлы воспроизводятся с использованием синтаксического анализатора, встроенного в файловую систему.
  • Подождите, пока подключится телефон iPhone или Nokia. После подключения загрузите информацию о телефоне, его телефонной книге, списке контактов, истории звонков, календаре, SMS-сообщениях, истории просмотров.
  • Дождитесь подключения телефона с Windows Mobile. После подключения заразите телефон мобильной версией основного компонента Rocra.
  • Дождитесь специально созданного документа Microsoft Office или PDF и запустите вредоносную загрузку, встроенную в этот документ, при этом создав однонаправленный и в то же время скрытый канал связи, используемый для возможного восстановления контроля над зараженной машиной.
  • Запишите все нажатия клавиш, сделайте скриншоты.
  • Запустите дополнительные зашифрованные модули по заранее заданному расписанию.
  • Загрузите электронную почту и вложения из Microsoft Outlook и с доступных почтовых серверов, используя ранее полученные учетные данные.

Примеры «одноразовых» заданий:

  • Соберите общую информацию о программном и аппаратном обеспечении.
  • Сбор информации о файловой системе, общих сетевых ресурсах и встроенных списках каталогов, поиск и загрузка файлов благодаря маске, предоставленной сервером C & C.
  • Соберите информацию об установленном программном обеспечении, уделяя особое внимание базе данных, средствам удаленного администрирования, мгновенным сообщениям (включая агента Mail.ru), драйверам и программам для Windows Mobile, Nokia, Sony Ericsson, HTC, Android и USB-дисков.
  • Извлеките историю просмотров из Chrome, Firefox, Internet Explorer и Opera.
  • Извлечение паролей, сохраненных для веб-сайтов, FTP-серверов, учетных записей электронной почты и мессенджеров.
  • Извлеките хеши учетных записей Windows (скорее всего, для взлома в автономном режиме).
  • Извлечение информации об учетной записи Outlook.
  • Укажите внешний IP-адрес зараженной машины.
  • Загрузка файлов с FTP-серверов, доступных с зараженного компьютера (включая подключенные к локальной сети) с использованием ранее загруженных учетных данных.
  • Сохраните и / или выполните любой код, данный как часть задачи.
  • Выполните сканирование сети, сделайте снимок данных конфигурации с устройств Cisco, если они доступны.
  • Выполните сканирование сети в заданном диапазоне и выполните репликацию на компьютерах с уязвимостью MS08-067.
  • Реплицируйте по сети, используя предварительно загруженные учетные данные администратора.

Платформа Rocra была разработана злоумышленниками с нуля и не использовалась в других операциях.

Это вредоносное ПО ограничено только рабочими станциями или имеет дополнительные функции, такие как мобильный вредоносный компонент?

Существует несколько мобильных модулей, которые были созданы для кражи данных с нескольких типов устройств:

  • Windows Mobile
  • iPhone
  • нокиа

Эти модули установлены в системе и ожидают подключения мобильных устройств к компьютеру-жертве. Когда соединение обнаружено, модули начинают собирать данные с мобильных телефонов.

Сколько вариантов, модулей или вредоносных файлов было обнаружено за все время операции «Красный Октябрь»?

В ходе нашего исследования мы обнаружили более 1000 модулей, относящихся к 30 различным категориям. Они были созданы с 2007 года, а последний сборник датирован 8 января 2013 года.

Вот список известных модулей и категорий:

Были ли начальные атаки на выбранные цели с наивысшим приоритетом, или они были направлены последовательно (волны больших атак) на отдельные цели / организации?

Все атаки были тщательно сопоставлены со спецификой жертв. Например, первые документы были тщательно адаптированы, чтобы сделать их более привлекательными и убедительными, и каждый модуль был специально разработан для конкретной жертвы в той мере, в которой он содержал даже уникальный идентификатор жертвы внутри. Позже стало возможным наблюдать высокую степень взаимодействия между злоумышленниками и жертвами - операция проводилась в зависимости от типа конфигурации среды жертвы, типа используемых документов, установленного программного обеспечения, родного языка и т. Д. По сравнению с Flam и Gauss, которые были высокоавтоматизированными кампаниями по кибершпионажу, Рокр более «человечен» и хорошо подходит для конкретных жертв.

Операция «Рокр» имеет какое-либо отношение к Дюку, Фламу и Гауссу?

Мы не смогли найти никаких связей между платформами Rocra и Flam и Tilded.

Как у Операции Рокр есть подобные кампании в стиле Авроры или Ночного Дракона? Есть ли существенные сходства или различия?

По сравнению с операциями «Аврора» и «Ночной дракон» Рокра гораздо сложнее. В ходе нашего исследования мы обнаружили более 1000 уникальных файлов, относящихся к примерно 30 различным категориям модулей. В целом, кампании Aurora и Night Dragon использовали относительно простое вредоносное ПО для кражи конфиденциальной информации. В случае с Rocra злоумышленникам удалось остаться скрытыми в течение более 5 лет и эффективно избежать обнаружения большинством антивирусных продуктов, в то же время получая огромный объем данных, который на данный момент может составлять сотни терабайт.

Сколько серверов в центре управления? Проводит ли «Лаборатория Касперского» какой-либо судебный анализ на них?

В ходе нашего расследования мы обнаружили более 60 доменных имен, используемых злоумышленниками для контроля и получения данных о жертвах. Доменные имена связаны с десятками IP-адресов, в основном расположенных в России и Германии.

Вот обзор инфраструктуры центра управления Rocra, обнаруженной в ходе нашего исследования:

Вот обзор инфраструктуры центра управления Rocra, обнаруженной в ходе нашего исследования:

Более подробная информация о серверах центра управления будет представлена ​​позже.

Вам удалось засосать один из серверов центра управления в воронку?

Нам удалось втянуть в воронку шесть из более чем шестидесяти доменов, используемых различными версиями вредоносных программ. За период тщательного мониторинга (2 ноября 2012 г. - 10 января 2013 г.) мы зарегистрировали более 55 000 соединений с воронкой. Количество различных IP-адресов, подключенных к воронке, составило 250.

С точки зрения географического распределения соединений с воронкой, мы зарегистрировали жертв из 39 стран, большинство из которых были из Швейцарии, Казахстана и Греции.


Статистика из бункера: 2 ноября 2012 г. - 10 января 2013 г.

В рамках расследования и защиты от заражения сотрудничает ли «Лаборатория Касперского» с какими-либо государственными учреждениями, группами, созданными для реагирования на инциденты, связанные с кибербезопасностью (CERT), правоохранительными органами или охранными компаниями?

«Лаборатория Касперского» в сотрудничестве с международными организациями, командами, созданными для реагирования на инциденты сетевой безопасности, правоохранительными органами и другими компаниями в сфере ИТ-безопасности, продолжает расследование операции «Красный Октябрь», предоставляя техническую экспертизу и средства для устранения и смягчения последствий заражения.

Эксперты «Лаборатории Касперского» благодарят за помощь в расследовании следующих организаций: US-CERT, CERT Румыния и CERT Беларусь.

Лица, которые представляют организацию CERT и хотят получить больше информации об инфекциях в данной стране, пожалуйста, свяжитесь с нами по адресу [email protected]. В ближайшее время мы опубликуем больше информации о кибершпионаже «Красный Октябрь».

MD5s хэш-список известных документов, используемых в атаках на Красный Октябрь:

114ed0e5298149fc69f6e41566e3717a 1f86299628bed519718478739b0e4b0c 2672fbba23bf4f5e139b10cacc837e9f 350c170870e42dce1715a188ca20d73b 396d9e339c1fd2e787d885a688d5c646 3ded9a0dd566215f04e05340ccf20e0c 44e70bce66cdac5dc06d5c0d6780ba45 4bfa449f1a351210d3c5b03ac2bd18b1 4ce5fd18b1d3f551a098bb26d8347ffb 4daa2e7d3ac1a5c6b81a92f4a9ac21f1 50bd553568422cf547539dd1f49dd80d 51edea56c1e83bcbc9f873168e2370af 5d1121eac9021b5b01570fb58e7d4622 5ecec03853616e13475ac20a0ef987b6 5f9b7a70ca665a54f8879a6a16f6adde 639760784b3e26c1fe619e5df7d0f674 65d277af039004146061ff01bb757a8f 6b23732895daaad4bd6eae1d0b0fef08 731c68d2335e60107df2f5af18b9f4c9 7e5d9b496306b558ba04e5a4c5638f9f 82e518fb3a6749903c8dc17287cebbf8 85baebed3d22fa63ce91ffafcd7cc991 91ebc2b587a14ec914dd74f4cfb8dd0f 93d0222c8c7b57d38931cfd712523c67 9950a027191c4930909ca23608d464cc 9b55887b3e0c7f1e41d1abdc32667a93 9f470a4b0f9827d0d3ae463f44b227db a7330ce1b0f89ac157e335da825b22c7 b9238737d22a059ff8da903fbc69c352 c78253aefcb35f94acc63585d7bfb176 fc3c874bda edf731439bbe28fc2e6bbe bb2f6240402f765a9d0d650b79cd2560 bd05475a538c996cd6cafe72f3a98fae c42627a677e0a6244b84aa977fbea15d cb51ef3e541e060f0c56ac10adef37c3 ceac9d75b8920323477e8a4acdae2803 cee7bd726bc57e601c85203c5767293c d71a9d26d4bb3b0ed189c79cd24d179a d98378db4016404ac558f9733e906b2b dc4a977eaa2b62ad7785b46b40c61281 dc8f0d4ecda437c3f870cd17d010a3f6 de56229f497bf51274280ef84277ea54 ec98640c401e296a76ab7f213164ef8c f0357f969fbaf798095b43c9e7a0cfa7 f16785fc3650490604ab635303e61de2

Похожие

Кампания Adwords - реклама для мобильных устройств - ISPRO - Интернет-системы
Благодаря развитию технологий все больше и больше получателей пользуются Интернетом на ходу. Есть такие инструменты, как смартфоны, планшеты и многое другое в обращении. Google не забывает об этой группе пользователей. В предыдущей статье Реклама на мобильных устройствах мы описали интернет-маркетинг для мобильного отдела. Вы можете найти много информации об этом, почему вы должны использовать этот
Телефоны среднего и высокого класса по самым низким подпискам и доступным ценам. Это возможно?
Низкая подписка около 30 злотых и телефон из среднего или более высокого ценового диапазона примерно за 100 злотых при единовременной или ежемесячной рассрочке? Можно ли приобрести подписку с телефона за приличные деньги? Давайте посмотрим. В качестве критерия я принял выбор самых дешевых тарифных планов, доступных у операторов на 24 месяца. Это будут подписки, колеблющиеся около 30 злотых, иногда даже выше, но с аналогичным набором услуг. Кроме того, мы выберем телефон,
Понимание шестнадцатеричных цветовых кодов
... используйте название цвета, например так: цвет фона: синий; Очевидно, это ограничено. Компьютер может отображать миллионы разных цветов, и запомнить имена каждого из них невозможно. И подумайте о том бедном парне, чья работа - придумывать имена! Вот почему CSS использует шестнадцатеричные коды , например: цвет фона: #DDEEFF; Вы, наверное, раньше использовали шестнадцатеричные коды. Вы, вероятно, используете шестнадцатеричный палитра
Html?
Что такое Рокр?
Откуда появилось это имя?
Направлена ​​ли деятельность Рокрака на конкретные отрасли промышленности, организации или географические регионы?
Как и когда была обнаружена кампания?
Кто предоставил вам образцы?
Сколько зараженных компьютеров было выявлено «Лабораторией Касперского»?
Каково общее количество жертв?
Каков примерный размер операции «Красный Октябрь» в мировом масштабе?
Кто стоит за этой операцией?

Новости