Napadači iz špijunske kampanje Red October su se vratili sa novom kampanjom CloudAtlas

Vesti, 11.12.2014, 23:08 PM

Napadači koji stoje iza APT kampanje Red October koja je otkrivena pre dve godine pojavili su se ponovo sa novom kampanjom napada u kojima se koriste slični alati i spear fišing emailovi.

Za Red October se saznalo u januaru prošle godine kada su istraživači otkrili napade na diplomate u nekim istočnoevropskim zemljama, institucije vlasti i istraživačke organizacije. U napadima je korišćen malver koji je mogao da krade podatke sa desktop i mobilnih uređaja i FTP servera. Napadači su na raspolaganju imali niz različitih alata i exploita za brojne ranjivosti koje su iskorišćavane u napadima. Red October napadi počinjali su ciljanim spear fišing emailovima.

Nova kampanja nazvana CloudAtlas, koju su obelodanili istraživači kompanije Kaspersky Lab takođe koristi isti spear fišing mamac (diplomatsko vozilo koje se u emailovima nudi na prodaju), pa čak su neke od žrtava iste one koje su napadači odabrali pre dve godine. S obzirom da se koriste slične taktike, alati i ciljevi, istraživači smatraju da je moguće da iza obe kampanje stoji ista grupa.

U avgustu ove godine primećeni su napadi u kojima je korišćena ranjivost CVE-2012-0158 i neobičan set malvera. Analiza napada je ukazala istraživačima da postoji bar jedna sličnost sa kampanjom Red October - spear fišing email koji sadrži dokument pod nazivom “Diplomatic Car for Sale.doc”. Dalja analiza je otkrila još neke detalje koji su podržali početnu pretpostavku da je nova kampanja slična onoj od pre dve godine. Najneobičnije je bila činjenica da Microsoft Office exploit nije direktno kreirao Windows PE backdoor na disku, već kriptovani Visual Basic Script koga potom pokreće.

I Red October i CloudAtlas ciljaju iste žrtve - ne samo iste organizacije već i iste računare. U jednom slučaju, jedan računar je napadnut samo dva puta u poslednje dve godine - jednom u Red October kampanji a drugi put u CloudAtlas kampanji.

Žrtve se nalaze u istim zemljama: Rusiji, Belorusiji, Kazahstanu i Indiji. U obe kampanje su korišćeni isti maliciozni alati.

“I Cloud Atlas i RedOctober maliciozni implanti imaju sličnu konstrukciju, sa loaderom i krajnjim payloadom koji je sačuvan kriptovan i kompresovan u eksterni fajl. Ipak ima i nekih važnih razlika, posebno u kriptografskim algoritmima koji se koriste - RC4 u Red October i AES u CloudAtlas”, kažu u Kaspersky Labu.

C&C infrastruktura za CloudAtlas je pomalo neobična. Napadači koriste naloge švedskog cloud provajdera CloudMe za komunikaciju sa kompromitovanim računarima.

“Napadači postavljaju podatke na nalog, koje implant preuzima, dešifruje i tumači. Malver šalje odgovore serveru preko istog mehanizma”, kažu istraživači.

Predstavnici CloudMe rekli su na Twitteru da rade na uklanjaju svih CloudAtlas C&C naloga.

Istraživači kompanije Blue Coat takođe su analizirali ovu kampanju, koju su nazvali Inception, i otkrili da su napadači takođe napravili alate za kompormitovanje različitih mobilnih platformi. Oni su razvili maliciozne alate za Android, BlackBerry i iOS uređaje da bi prikupljali informacije od žrtava, kao i bi sproveli po svemu sudeći planiranu MMS fišing kampanju protiv mobilnih uređaja odabranih pojedinaca, uglavnom onih koji rade u finansijskom sektoru, naftnoj industriji, vojsci, zatim, inženjera i političara u različitim delovima sveta. Istraživači su otkrili i da je korišćen Bit.ly servis za skraćivanje linkova da bi se žrtve usmeravale na malvere za mobilne uređaje.

Samo sa jednog naloga je kreirano 10000 takvih linkova, koji svi vode do samo tri IP adrese. Ciljevi se identifikuju i kod koji isporučuje malver maskiran je u ažuriranje za aplikacije kao što su WhatsApp ili Viber ili MMS fišing. U slučaju fišinga, kod takođe identifikuje i mobilnog operatera za uređaj da bi bio isporučen odgovarajući logo telekomunikacijske kompanije. Istraživači kažu da nisu uspeli da dođu do svih podataka o mobilnim operaterima koji su ciljevi jer su serveri sada offline. Do sada su u Blue Coat uočili više od 60 provajdera mobilne telefonije među kojima su China Mobile, O2, Orange, SingTel, T-Mobile i Vodafone.

Analizirajuži maliciozna ažurianja, istraživači su otrkili da je glavni zadatak Android verzije malvera da snima telefonske razgovore, ali i da prati lokaciju, čita kontakte, nadgleda dolazne i odlazne poruke i SMS poruke.

Na iOS je otkriveno lažno ažuriranje koje oponaša Cydia installer. Podaci koji se mogu izvuči sa iOS uređaja su informacije o sistemu i uređaju, kontakti, broj telefona, informacije o mobilnom oeprateru, WiFi status, MAC adresa, informacije o bateriji, ukupnom i slobodnom prostoru, vremenskoj zoni, Apple ID, spisak preuzetih aplikacija, i informacije o računaru koji se koristi za backup.