Röda oktober-malware upptäckt efter år av att stjäla data i naturen

En skuggig grupp hackare har sippat över intelligensdata över hela världen från diplomatiska, offentliga och vetenskapliga datanätverk i mer än fem år, inklusive mål i USA enligt en rapport från Kaspersky Lab.

Kaspersky Lab började undersöka malwareattackerna i oktober och kallade dem "Rocra", kort för "Red October." Rocra använder ett antal säkerhetsproblem i Microsoft Excel, Word och PDF-dokumenttyper för att infektera Datorer, smartphones och datorutrustning. På tisdag upptäckte forskare att malwareplattformen också använder webbaserade Java-exploater.

Det är inte klart vem som står bakom attackerna, men Rocra använder minst tre offentligt kända exploater som ursprungligen skapades av kinesiska hackare. Rocras programmering verkar dock vara från en separat grupp rysktalande operatörer, enligt rapporten från Kaspersky Lab.

[Vidare läsning: Din nya dator behöver dessa 15 gratis, utmärkta program]

Anfallen är pågående och riktade till högnivåinstitutioner i så kallade spjutfiskeattacker. Kaspersky uppskattar att attackerna i oktober har sannolikt fått hundratals terabytes data under den tid det har varit i drift, vilket kan vara så tidigt som i maj 2007.

Rocra-infektioner upptäcktes i mer än 300 länder mellan 2011 och 2012, baserat på på information från Kasperskys antivirusprodukter. De berörda länderna var främst tidigare medlemmar i Sovjetunionen, inklusive Ryssland (35 infektioner), Kazakstan (21) och Aserbajdsjan (15).

Andra länder med ett stort antal infektioner är Belgien (15), Indien (14) Afghanistan (10) och Armenien (10). Sex infektioner upptäcktes vid ambassader i USA. Eftersom dessa siffror bara kom från maskiner som använder Kaspersky-programvaran, kan det faktiska antalet infektioner vara mycket högre.

Ta allt

Kaspersky sa att skadlig programvara som används i Rocra kan stjäla data från PC-arbetsstationer och smartphones anslutna till datorer, inklusive iPhone, Nokia och Windows Mobile-telefoner. Rocra kan förvärva nätverkskonfigurationsinformation från Cisco-märkt utrustning och ta tag i filer från flyttbara hårddiskar, inklusive borttagna data.

Malware-plattformen kan också stjäla e-postmeddelanden och bilagor, spela in alla tangenttryckningar på en infekterad maskin, ta skärmdumpar, och fånga bläddringshistorik från Chrome, Firefox, Internet Explorer och Opera webbläsare. Som om det inte räckte, tar Rocra även filer som sparas på lokala nätverksfTP-servrar och kan replikera sig över ett lokalt nätverk.

Par för kursen

Även om Rocras kapacitet ser ut som omfattande, inte alla i säkerhetsfältet var imponerad av Rocras angreppsmetoder. "Det verkar att utnyttjade användningar inte var avancerade på något sätt", sa säkerhetsföretaget F-Secure på företagets blogg. "Anfallarna använde gamla, välkända Word, Excel och Java-exploiteringar. Hittills finns det inget tecken på att nolldagars sårbarheter används. "En sju dagars sårbarhet hänvisar till tidigare okända exploater som upptäckts i naturen.

Trots att den inte är imponerad av sin tekniska kapacitet, säger F-Secure angreppen i oktober är intressanta på grund av hur länge Rocra har varit aktiv och omfattningen av spionaget som genomförs av en enda grupp. "Men", tillade F-Secure. "Den sorgliga sanningen är att företag och regeringar ständigt är under liknande attacker från många olika källor."

Rocra startar när ett offer laddar ner och öppnar en skadlig produktivitetsfil (Excel, Word, PDF) som sedan kan hämta mer skadlig kod från Rocras kommando- och kontrollservrar, en metod som kallas en trojanskippare. Denna andra omgången av skadlig programvara innehåller program som samlar in data och skickar den informationen tillbaka till hackare.

Stulna data kan innehålla vardagliga filtyper som vanlig text, rik text, Word och Excel, men attackerna i oktober går också efter kryptografiska data som pgp och gpg krypterade filer.

Dessutom söker Rocra efter filer som använder "Acid Cryptofile" -tillägg, som är kryptografisk programvara som används av regeringar och organisationer, inklusive Europeiska unionen och Nordatlantiska fördragsorganisationen. Det är inte klart om personerna bakom Rocra kan dechifiera eventuella krypterade data de erhåller.

E-poståterfödelse

Rocra är också särskilt resistent mot störningar från brottsbekämpning, enligt Kaspersky. Om kampanjens kommando- och kontrollservrar stängdes av har hackarna konstruerat systemet så att de kan återfå kontrollen över sin skadliga programplattform med ett enkelt e-postmeddelande.

En av Rocras komponenter söker efter inkommande PDF- eller Office-dokument som innehåller exekverbar kod och är flaggad med speciella metadatakoder. Dokumentet kommer att klara alla säkerhetscheckar, säger Kaspersky, men när den har laddats ner och öppnats kan Rocra starta en skadlig program som bifogas dokumentet och fortsätta att mata in data till de dåliga killarna. Med hjälp av detta knep måste alla hackare göra vissa nya servrar och e-post skadliga dokument till tidigare offer för att komma tillbaka i affärer.

Rocras servrar ställs in som en serie proxyer (servrar som gömmer sig bakom andra servrar), vilket gör det mycket svårare att upptäcka källan till attackerna. Kasperksy säger att komplexiteten hos Rocras infrastruktur konkurrerar med Flame malware, som också användes för att infektera datorer och stjäla känsliga data. Det finns ingen känd anslutning mellan Rocra, Flame eller skadlig kod som Duqu, som byggdes på kod som liknar Stuxnet.

Såsom noteras av F-Secure verkar de angripna röda oktober inte göra något särskilt nytt, men hur mycket tid denna malware kampanj har varit i det vilda är imponerande. På samma sätt som andra cyberspionage kampanjer som Flame, Red October är beroende av att duppa användare till att hämta och öppna skadliga filer eller besöka skadliga webbplatser där kod kan injiceras i sina enheter. Detta tyder på att datorns spionage kan stiga, men grunden för datasäkerhet kan gå långt för att förhindra dessa attacker.

Ta försiktighetsåtgärder

Användbara försiktighetsåtgärder som att vara försiktig med filer från okända avsändare eller kollar på filer som saknar karaktär från sin påstådda avsändare är en bra start. Det är också användbart att vara försiktig med att besöka webbplatser du inte känner eller litar på, särskilt när du använder företagsutrustning. Slutligen se till att du har alla de senaste säkerhetsuppdateringarna för din version av Windows och ser allvarligt över att stänga av Java om du inte behöver det. Du kanske inte kan förhindra alla typer av attacker, men iakttagande av grundläggande säkerhetspraxis kan skydda dig från många dåliga aktörer på nätet.

Kaspersky säger att det inte är klart om attackerna i röda oktober är ett nationellt eller kriminals arbete att sälja känsliga data på den svarta marknaden. Säkerhetsbolaget planerar att släppa mer information om Rocra under de närmaste dagarna.

Om du är orolig för huruvida något av dina system påverkas av Rocra, säger F-Secure att dess antivirusprogram kan upptäcka de för närvarande kända utnyttjanden som används i Röda oktoberattacker Kasperskys antivirusprogram kan också upptäcka hot från Rocra.