Red October-malware ontdekt na jarenlange diefstal van gegevens in het wild

Een schimmige groep hackers heeft wereldwijd meer dan vijf jaar lang inlichtingen afkomstig van diplomatieke, overheids- en wetenschappelijke onderzoeksinfrastructuren overgeheveld, waaronder doelen in de Verenigde Staten, volgens een rapport van Kaspersky Lab.

Kaspersky Lab begon met het onderzoeken van de malware-aanvallen in oktober en noemde ze "Rocra", afkorting van "Red October." Rocra gebruikt een aantal beveiligingskwetsbaarheden in Microsoft Excel-, Word- en PDF-documentsoorten om te infecteren PC's, smartphones en computernetwerkapparatuur. Op dinsdag ontdekten onderzoekers dat het malwareplatform ook op het web gebaseerde Java-exploits gebruikt.

Het is niet duidelijk wie er achter de aanvallen zit, maar Rocra gebruikt ten minste drie publiek bekende exploits die oorspronkelijk door Chinese hackers zijn gemaakt. Rocra's programmering lijkt echter afkomstig te zijn van een afzonderlijke groep Russisch sprekende medewerkers, volgens het rapport van Kaspersky Lab.

De aanvallen zijn doorlopend en gericht op instellingen op hoog niveau in wat bekend staat als speervisaanvallen. Kaspersky schat dat de aanvallen van Red October waarschijnlijk honderden terabytes aan gegevens hebben verzameld in de tijd dat deze operationeel was, wat al in mei 2007 zou kunnen zijn.

Rocra-infecties werden tussen 2011 en 2012 in meer dan 300 landen ontdekt informatie over de antivirusproducten van Kaspersky. De betrokken landen waren voornamelijk voormalige leden van de USSR, waaronder Rusland (35 infecties), Kazachstan (21) en Azerbeidzjan (15). Andere landen met een hoog aantal infecties zijn België (15), India (14), Afghanistan (10) en Armenië (10). Zes infecties werden ontdekt op ambassades in de Verenigde Staten. Omdat deze nummers alleen afkomstig waren van machines die Kaspersky-software gebruiken, zou het werkelijke aantal infecties veel groter kunnen zijn.

Neem het allemaal

Kaspersky zei dat de malware die in Rocra wordt gebruikt gegevens van pc-werkstations en smartphones die op pc's zijn aangesloten, kan stelen Handsets voor iPhone, Nokia en Windows Mobile. Rocra kan netwerkconfiguratie-informatie verkrijgen van apparatuur van het merk Cisco en bestanden ophalen van verwisselbare schijfstations inclusief verwijderde gegevens.

Het malwareplatform kan ook e-mailberichten en bijlagen stelen, alle toetsaanslagen van een geïnfecteerde machine vastleggen, schermafbeeldingen maken, en browse-browsegeschiedenis uit Chrome, Firefox, Internet Explorer en Opera Web-browsers. Alsof dat nog niet genoeg was, grijpt Rocra ook bestanden die zijn opgeslagen op lokale netwerk-FTP-servers en kan zichzelf repliceren op een lokaal netwerk.

Par voor de cursus

Hoewel Rocra's mogelijkheden uitgebreid lijken, niet iedereen op het gebied van beveiliging was onder de indruk van Rocra's aanvalsmethoden. "Het lijkt erop dat de gebruikte exploits op geen enkele manier vooruit waren gegaan", zei het beveiligingsbedrijf F-Secure op zijn bedrijfsblog. "De aanvallers gebruikten oude, bekende exploits in Word, Excel en Java. Tot nu toe is er geen sprake van zero-day-kwetsbaarheden die worden gebruikt. "Een zero-day-kwetsbaarheid verwijst naar voorheen onbekende exploits die in het wild zijn ontdekt. ​​

Hoewel F-Secure niet onder de indruk is van zijn technische capaciteit, zegt het de rode oktoberaanvallen zijn interessant vanwege de tijd dat Rocra actief was en de omvang van de spionage die door een enkele groep werd ondernomen. "Echter," F-Secure toegevoegd. "De trieste waarheid is dat bedrijven en overheden voortdurend worden geconfronteerd met soortgelijke aanvallen vanuit veel verschillende bronnen."

Rocra start wanneer een slachtoffer een schadelijk productiviteitsbestand downloadt (Excel, Word, PDF) en vervolgens meer malware van Rocra's kan ophalen command-and-control-servers, een methode die bekend staat als een Trojan-druppelaar. Deze tweede ronde van malware omvat programma's die gegevens verzamelen en die informatie terugsturen naar hackers.

Gestolen gegevens kunnen bestaan ​​uit alledaagse bestandstypen zoals platte tekst, rich text, Word en Excel, maar de Red October-aanvallen gaan ook achter cryptografische gegevens zoals PGP en Gpg gecodeerde bestanden.

Daarnaast zoekt Rocra naar bestanden die gebruikmaken van "Acid Cryptofile" -extensies, dit is cryptografische software die wordt gebruikt door overheden en organisaties, waaronder de Europese Unie en de Noord-Atlantische Verdragsorganisatie. Het is niet duidelijk of de mensen achter Rocra in staat zijn versleutelde gegevens die zij verkrijgen te ontcijferen.

E-mail wedergeboorte

Rocra is ook bijzonder resistent tegen inmenging door wetshandhaving, volgens Kaspersky. Als de command-and-control-servers van de campagne zijn afgesloten, hebben de hackers het systeem zo ontworpen dat ze de controle over hun malwareplatform kunnen terugkrijgen met een eenvoudige e-mail.

Een van Rocra's componenten zoekt naar elk inkomend PDF- of Office-document die uitvoerbare code bevat en is gemarkeerd met speciale metagegevenslabels. Het document zal alle beveiligingscontroles doorstaan, zegt Kaspersky, maar zodra het is gedownload en geopend, kan Rocra een kwaadwillende toepassing gebruiken die is bijgevoegd bij het document en gegevens blijft verstrekken aan de slechteriken. Met deze truc hoeven hackers alleen maar nieuwe servers in te stellen en schadelijke documenten naar vorige slachtoffers te e-mailen om weer aan het werk te gaan.

Rocra's servers zijn opgezet als een reeks proxy's (servers verstoppen zich achter andere servers)), waardoor het veel moeilijker wordt om de bron van de aanvallen te achterhalen. Kasperksy zegt dat de complexiteit van de Rocra-infrastructuur in strijd is met die van de Flame-malware, die ook werd gebruikt om pc's te infecteren en gevoelige gegevens te stelen. Er is geen verband bekend tussen Rocra, Flame of malware zoals Duqu, die is gebouwd op dezelfde code als Stuxnet.

Zoals opgemerkt door F-Secure lijken de aanvallen van Red October niets nieuws te doen, maar de tijd dat deze malware-campagne in het wild is geweest, is indrukwekkend. Net als andere cyber-spionagecampagnes, zoals Flame, is Red October afhankelijk van het misleiden van gebruikers tot het downloaden en openen van kwaadaardige bestanden of het bezoeken van kwaadaardige websites waar code op hun apparaten kan worden geïnjecteerd. Dit suggereert dat hoewel computerspionage in de lift zit, de basisprincipes van computerbeveiliging een lange weg kunnen gaan om deze aanvallen te voorkomen.

Neem voorzorgsmaatregelen