Operacija ''Crveni oktobar'': Kako su vlasti širom sveta špijunirane 5 godina

Vesti, 15.01.2013, 10:32 AM

Operacija ''Crveni oktobar'': Kako su vlasti širom sveta špijunirane 5 godina

Kaspersky Lab je juče objavio da su stručnjaci kompanije otkrili još jednu špijunsku kampanju, nalik onoj u čijem je središtu bio malver Flame, čije su mete bile diplomatske organizacije, vlade brojnih država, političke grupe ali i naučni instituti širom sveta. Cilj kampanje koja je punih pet godina ostala neprimećena bio je prikupljanje podataka sa mobilnih uređaja, kompjuterskih sistema i mreža.

Stručnjaci Kaspersky Laba prethodnih nekoliko meseci analizirali su malver nazvan Rocra (skraćeno od Red October) koji je bio nosilac špijunskih aktivnosti u ovoj kampanji kojom su pogođene, pre svih, istočnoevropske države, bivše članice SSSR-a i zemlje centralnoazijskog regiona, ali i pojedine zapadnoevropske države, kao i SAD.

Kampanja „Red october“ i dalje je aktivna a ukradeni podaci se i dalje šalju serverima za komandu i kontrolu (C&C, command-and-control servers). Podaci o kupovini i registraciji C&C domena otkrivaju da je kampanja napada započela u maju daleke 2007. godine.

Malver Rocra ima jedinstvenu arhitekturu i funkcionalnosti koje nisu viđene u ranijim špijunskim kampanjama, kažu u Kaspersky Labu. Malver ima kompleksni kriptografski modul za špijunažu osposobljen za krađu podataka iz Acid Cryptofiler koji od 2011. godine koriste NATO, Evropska unija, Evropski parlament i Evropska komisija za šifrovanje poverljivih dokumenata. Istraživači kažu da malver takođe ima sposobnost da krade podatke sa smart telefona, i to Android, iPhone, Windows Phone, ali i Nokijinih modela, Sony Ericsson i HTC modela.

Rocra krade i akreditive, podatke za prijavljivanje na naloge, koje u nekim slučajevima koristi za pristup zaštićenim sistemima kojima pristupa sa zaraženih računara i kompromitovanih mreža.

Žrtve se pažljivo biraju, a malver se šalje metama u spear-phishing emailovima koji sadrže najmanje tri exploita za Microsoft Excel i Word ili PDF dokumente. Infektivni fajlovi, kada se preuzmu, inficiraju računar Trojancem koji potom skenira lokalnu mrežu tragajući za bilo kojim drugim uređajima koji su ranjivi zbog istog bezbednosnog propusta.

Malver beleži aktivnosti na tastaturi, pravi snimke ekrana (screenshots), prikuplja podatke o softveru i hardveru zaraženog računara, izvlači istoriju pretrage iz browsera (Chrome, Firefox, Internet Explorer, Opera) i snima lozinke, izvlači podatke sa Outlook naloga i obavlja čitav niz drugih špijunskih zadataka.

Dizajniran da krade šifrovane podatke, pa čak i podatke koji su obrisani sa žrtvinog računara, malver ima nekoliko ključnih karakteristika zbog kojih stručnjaci veruju da su ovi napadi možda sponzorisani od strane neke države, iako su to za sada samo nagađanja. Jedan od razloga za ovakve pretpostavke je modul unutar malvera koji praktično omogućava njegovu reinkarnaciju. Modul sakriva infekciju računara, maskiran u plugin za neki program kao što je Micorosoft Office, što može obezbediti povratak malvera nakon uklanjanja infekcije.

Podaci koje krade malver su između ostalih i geopolitičke informacije, koje se mogu prodati na crnom tržištu onom ko ponudi najviše novca za njih. Moguće je da je obilje podataka koji su ukradeni tokom proteklih pet godina prodavano na crnom tržitu ili da su ukradeni podaci korišćeni od strane neke države, u slučaju da je država naručilac napada.

Red October nije samo fokusiran na računare, već je sposoban da krade podatke i sa mobilnih uređaja, eksternih hard diskova, da pristupa FTP serverima i krade podatke iz email baza podataka.

Infekcija malverom Rocra kontroliše se uz pomoć nekoliko servera koji se nalaze u različitim zemljama. Da bi glavni komandni centar ostao sakriven, C&C infrastruktura funkcioniše kao ogromna mreža proxy-ja.

Exploiti koji su korišćeni u kampanji kineskog su porekla, ali moduli malvera su delo ruskih autora.

Više detalja o svemu ovome možete pronaći na blogu kompanije Kaspersky Lab.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara

Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara

Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje

Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima

Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima

Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova

Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala

Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju

LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje