Rote Oktober-Malware nach Jahren des Diebstahls von Daten in freier Wildbahn

Eine schattenhafte Gruppe Hacker hat Intelligenzdaten weltweit von den Computernetzwerken der Diplomatie, der Regierung und der wissenschaftlichen Forschung für mehr als fünf Jahre, einschließlich Ziele in den Vereinigten Staaten, nach einem Bericht von Kaspersky Lab.

Kaspersky Lab begann im Oktober mit der Suche nach Malware-Angriffen und nannte sie "Rocra", kurz "Roter Oktober". Rocra verwendet eine Reihe von Sicherheitslücken in Microsoft Excel-, Word- und PDF-Dokumenten PCs, Smartphones und Computer-Netzwerkgeräte. Am Dienstag entdeckten Forscher, dass die Malware-Plattform auch Web-basierte Java-Exploits verwendet.

Es ist nicht klar, wer hinter den Angriffen steckt, aber Rocra nutzt mindestens drei öffentlich bekannte Exploits, die ursprünglich von chinesischen Hackern erstellt wurden. Rocras Programmierung scheint jedoch laut dem Bericht von Kaspersky Lab aus einer separaten Gruppe von russischsprachigen Aktivisten zu stammen.

[Lesen Sie weiter: Ihr neuer PC braucht diese 15 kostenlosen, ausgezeichneten Programme]

Die Angriffe sind fortlaufend und zielgerichtet auf hochrangige Institutionen in so genannten Speerfischereiangriffen. Kaspersky schätzt, dass die Red-October-Attacken wahrscheinlich Hunderte von Terabytes an Daten in der Betriebszeit erhalten haben, möglicherweise bereits im Mai 2007.

Rocra-Infektionen wurden zwischen 2011 und 2012 in mehr als 300 Ländern entdeckt auf Informationen von Kaspersky Antivirus-Produkten. Betroffene Länder waren in erster Linie ehemalige Mitglieder der UdSSR, darunter Russland (35 Infektionen), Kasachstan (21) und Aserbaidschan (15).

Andere Länder mit einer hohen Anzahl von Infektionen sind Belgien (15), Indien (14), Afghanistan (10) und Armenien (10). Sechs Infektionen wurden in Botschaften in den Vereinigten Staaten entdeckt. Da diese Zahlen nur von Maschinen kommen, die Kaspersky-Software verwenden, könnte die tatsächliche Anzahl der Infektionen viel höher sein.

Alles nehmen

Kaspersky sagte, dass die in Rocra verwendete Malware Daten von PC-Arbeitsplätzen und Smartphones an PC einschließlich der iPhone, Nokia und Windows Mobile-Handys. Rocra kann Netzwerkkonfigurationsinformationen von Geräten der Marke Cisco beziehen und Dateien von Wechseldatenträgern einschließlich gelöschter Daten abrufen.

Die Malware-Plattform kann auch E-Mail-Nachrichten und Anhänge stehlen, alle Tastatureingaben eines infizierten Computers aufzeichnen, Screenshots erstellen, und den Browserverlauf aus den Browsern Chrome, Firefox, Internet Explorer und Opera abrufen. Als ob das nicht genug wäre, greift Rocra auch auf lokalen FTP-Servern gespeicherte Dateien und kann sich über ein lokales Netzwerk replizieren.

Par für den Kurs

Obwohl Rocras Fähigkeiten umfangreich erscheinen, nicht alle im Sicherheitsbereich war beeindruckt von Rocras Angriffsmethoden. "Es scheint, dass die verwendeten Exploits in keiner Weise verbessert wurden", sagte das Sicherheitsunternehmen F-Secure auf seinem Firmenblog. "Die Angreifer verwendeten alte, bekannte Word-, Excel- und Java-Exploits. Bisher gibt es keine Anzeichen dafür, dass Zero-Day-Schwachstellen genutzt werden. "Eine Zero-Day-Schwachstelle bezieht sich auf bisher unbekannte Exploits.

Obwohl F-Secure von seinen technischen Möglichkeiten unbeeindruckt ist, sagt er die Red-October-Attacken sind interessant wegen der langen Zeit, in der Rocra aktiv war, und aufgrund des Ausmaßes der Spionage, die von einer einzigen Gruppe unternommen wurde. "Allerdings", fügte F-Secure hinzu. "Die traurige Wahrheit ist, dass Unternehmen und Regierungen ständig unter ähnlichen Angriffen aus vielen verschiedenen Quellen stehen."

Rocra startet, wenn ein Opfer eine bösartige Produktivitätsdatei (Excel, Word, PDF) herunterlädt und öffnet, die mehr Malware von Rocra abrufen kann Command-and-Control-Server, eine Methode, die als Trojaner-Dropper bekannt ist. Diese zweite Malware-Runde umfasst Programme, die Daten sammeln und diese Informationen an Hacker zurücksenden.

Gestohlene Daten können alltägliche Dateitypen wie Klartext, Rich Text, Word und Excel enthalten, aber die Red October-Angriffe gehen auch auf kryptographische Daten wie PGP- und GPG-verschlüsselte Dateien zurück.

Außerdem sucht Rocra nach Dateien, die verwendet werden "Acid Cryptofile" -Erweiterungen, bei denen es sich um Verschlüsselungssoftware handelt, die von Regierungen und Organisationen einschließlich der Europäischen Union und der Nordatlantikvertrags-Organisation verwendet wird. Es ist nicht klar, ob die Menschen hinter Rocra in der Lage sind, verschlüsselte Daten zu entschlüsseln.

E-Mail-Wiedergeburt

Rocra ist laut Kaspersky auch besonders resistent gegen Störungen durch die Strafverfolgungsbehörden. Wenn die Command-and-Control-Server der Kampagne heruntergefahren wurden, haben die Hacker das System so konzipiert, dass sie die Kontrolle über ihre Malware-Plattform mit einer einfachen E-Mail zurückgewinnen können.

Eine der Rocra-Komponenten sucht nach allen eingehenden PDF- oder Office-Dokumenten Dieser enthält ausführbaren Code und ist mit speziellen Metadaten-Tags gekennzeichnet. Das Dokument wird alle Sicherheitsüberprüfungen bestehen, sagt Kaspersky, aber sobald es heruntergeladen und geöffnet ist, kann Rocra eine bösartige Anwendung starten, die an das Dokument angehängt ist und Daten an die bösen Jungs weitergibt. Mit diesem Trick müssen Hacker nur einige neue Server einrichten und böswillige Dokumente per E-Mail an frühere Opfer senden, damit sie wieder arbeiten können.

Rocras Server sind als eine Reihe von Proxies eingerichtet (Server, die sich hinter anderen Servern verstecken)), wodurch es viel schwieriger wird, die Quelle der Angriffe zu entdecken. Kasperksy zufolge ist die Komplexität der Rocra-Infrastruktur mit der der Flame-Malware vergleichbar, die auch dazu verwendet wurde, PCs zu infizieren und vertrauliche Daten zu stehlen. Es gibt keine bekannte Verbindung zwischen Rocra, Flame oder Malware wie Duqu, die auf Code ähnlich wie Stuxnet aufgebaut war.

Wie von F-Secure bemerkt, scheinen die Red-October-Attacken nichts besonders Neues zu tun, Aber die Zeit, die diese Malware-Kampagne in freier Wildbahn verbracht hat, ist beeindruckend. Ähnlich wie bei anderen Cyber-Spionage-Kampagnen wie "Flame" ist Red October darauf angewiesen, dass Nutzer bösartige Dateien herunterladen und öffnen oder bösartige Websites besuchen, auf denen Code in ihre Geräte injiziert werden kann. Dies deutet darauf hin, dass während Computerspionage auf dem Vormarsch sein kann, können die Grundlagen der Computersicherheit einen langen Weg, um diese Angriffe zu verhindern.

Ergreifen Sie Vorsichtsmaßnahmen

Nützliche Vorsichtsmaßnahmen wie vorsichtig von Dateien von unbekannten Absendern oder aufpassen Dateien, die nicht von ihrem angeblichen Absender stammen, sind ein guter Anfang. Es ist auch nützlich, auf Websites zu achten, die Sie nicht kennen oder denen Sie nicht vertrauen, insbesondere wenn Sie Firmengeräte verwenden. Stellen Sie abschließend sicher, dass Sie über die neuesten Sicherheitsupdates für Ihre Windows-Version verfügen, und ziehen Sie ernsthaft in Erwägung, Java zu deaktivieren, wenn Sie es nicht unbedingt benötigen. Sie sind möglicherweise nicht in der Lage, alle Arten von Angriffen zu verhindern, aber die Einhaltung grundlegender Sicherheitspraktiken kann Sie vor vielen schlechten Schauspielern im Internet schützen.

Kaspersky sagt, es ist nicht klar, ob die Angriffe des Roten Oktobers die Arbeit eines Nationalstaats oder eines Kriminellen sind sensible Daten auf dem Schwarzmarkt zu verkaufen. Die Sicherheitsfirma plant, in den nächsten Tagen weitere Informationen über Rocra zu veröffentlichen.

Wenn Sie Bedenken haben, ob eines Ihrer Systeme von Rocra betroffen ist, sagt F-Secure, dass seine Antivirus-Software die derzeit bekannten Exploits erkennen kann Rote Oktoberattacken. Kaspersky Antivirus-Software kann auch Bedrohungen von Rocra erkennen.