„Kaspersky Lab“ papasakojo apie „Red October“

„Kaspersky Lab“ paskelbė didelio masto kibernetinių nusikaltėlių vykdomos kampanijos tyrimo ataskaitą. Kampanijos tikslas – diplomatinių, vyriausybinių ir mokslo organizacijų šnipinėjimas įvairiose pasaulio šalyse. Kenkėjai siekė gauti konfidencialios informacijos, duomenų, atveriančių prieigą prie kompiuterinių sistemų, asmeninių mobiliųjų įrenginių ir korporatyvinių tinklų, taip pat rinkti geopolitinio pobūdžio duomenis. Pagrindiniu taikiniu tapo buvusios SSRS respublikos, Rytų Europos šalys, taip pat Centrinės Azijos valstybės.

2012 m. spalį „Kaspersky Lab“ ekspertai pradėjo tarptautinių diplomatinių atstovybių kompiuterinių tinklų atakų serijos tyrimą. Tirdami šiuos incidentus specialistai aptiko didelio masto kibernetinio šnipinėjimo tinklą. Remdamiesi analizės rezultatais „Kaspersky Lab“ ekspertai priėjo prie išvados, kad operacija kodiniu pavadinimu „Red October“ prasidėjo dar 2007 m. ir tęsiasi iki šiol.

Pagrindiniu kibernetinių nusikaltėlių tikslu tapo viso pasaulio diplomatinės ir vyriausybinės struktūros. Tačiau tarp aukų – ir mokslinių tyrimų institutai, energetikos bendrovės, kosminės agentūros, prekybos įmonės. „Red October“ kūrėjai sukūrė nuosavą kenkėjišką unikalios modulinės struktūros programinę įrangą, kurią sudaro kenkėjiški plėtiniai, moduliai informacijai vogti. „Kaspersky Lab“ antivirusinėje bazėje ši kenkėjiška programa vadinama „Backdoor.Win32.Sputnik“.

Užkrėstų mašinų tinklui kontroliuoti kibernetiniai nusikaltėliai naudojo daugiau nei 60 prisijungimo vardų ir serverių įvairiose pasaulio šalyse. Ir jų dauguma buvo Vokietijos ir Rusijos teritorijoje. „Kaspersky Lab“ ekspertų atlikta valdymo serverių infrastruktūros analizė atskleidė, kad užpuolikai, norėdami paslėpti pagrindinio valdymo serverio vietą, naudojo visą proksi serverių grandinę.

Nusikaltėliai vogė įvairių formatų failuose esančią informaciją iš užkrėstų sistemų. Tarp jų ekspertai aptiko failus su „acid*“ išplėtimu, priklausančius slaptai programinei įrangai „Acid Cryptofiler“, naudojamai kelių Europos Sąjungos ir NATO organizacijų.

Sistemoms užkrėsti nusikaltėliai naudojo netikrus laiškus, adresuotus konkretiems gavėjams iš vienos ar kitos organizacijos. Juose būdavo speciali Trojos programa, kuriai įdiegti laiške buvo taikomi eksploitai, išnaudojantys silpnąsias „Microsoft Office“ vietas. Šie eksploitai buvo sukurti kitų užpuolikų ir anksčiau buvo naudojami įvairiose kibernetinėse atakose prieš Tibeto aktyvistus ir kelių Azijos regiono valstybių karinius bei energetikos sektorius.

Kibernetinio šnipinėjimo aukoms aptikti „Kaspersky Lab“ ekspertai analizavo duomenis, gautus iš dviejų pagrindinių šaltinių: debesų serviso „Kaspersky Security Network (KSN)“ ir „sinkhole“ serverių, skirtų stebėti užkrėstas mašinas, siekiančias nustatyti ryšį su komandiniais serveriais.

• KSN statistiniai duomenys padėjo aptikti kelis šimtus unikalių užkrėstų kompiuterių, kurių dauguma priklausė ambasadoms, konsulatams, vyriausybinėms organizacijoms ir mokslinių tyrimų institutams. Didžioji užkrėstų sistemų dalis buvo aptikta Rytų Europos šalyse.
• „Sinkhole“ serverių duomenys gauti nuo 2012 m. lapkričio 2 d. iki 2013 m. sausio 10 d. Per šį laiką užfiksuota daugiau nei 55 tūkst. prisijungimų iš 250 užkrėstų IP adresų, registruotų 39 šalyse. Dauguma prisijungimų, aptiktų iš užkrėstų IP adresų, užfiksuota Šveicarijoje, Kazachstane ir Graikijoje.   

Kibernetiniai nusikaltėliai sukūrė multifunkcinę platformą atakoms vykdyti. Joje yra kelios dešimtys įplėtimų ir kenkėjiškų failų, galinčių greitai prisitaikyti prie skirtingų sisteminių konfigūracijų ir iš užkrėstų kompiuterių rinkti konfidencialius duomenis.

Tarp ryškiausių modulių charakteristikų yra:

• Atkūrimo modulis, leidžiantis nusikaltėliams „atgaivinti“ užkrėstas mašinas. Jis įmontuojamas kaip įskiepis „Adobe Reader“ ir „Microsoft Office“ programose ir atakuojantiems užtikrina pakartotiną prieigą prie sistemos tuo atveju, jei pagrindinė kenkėjiška programa būtų aptikta ir pašalinta arba jei būtų atnaujinta sistema.
• Patobulinti kriptografiniai šnipinėjimo moduliai, skirti vogti informaciją, taip pat ir iš įvairių kriptografinių sistemų, pavyzdžiui, iš Acid Cryptofiler, kuri naudojama nuo 2011 m. informacijai apsaugoti tokiose organizacijose kaip NATO, Europos Sąjunga, Europos Parlamentas ir Europos Komisija.
• Mobiliųjų įrenginių užkrėtimo galimybės: be tradicinių darbo stotelių užkrėtimo, ši kenkėjiška programinė įranga gali vogti duomenis iš mobiliųjų įrenginių, konkrečiai iš išmaniųjų telefonų („iPhone“, „Nokia“ ir „Windows Phone“). Taip pat užpuolikai galėjo vogti informaciją apie konfigūraciją iš tinklinės programinės įrangos (maršrutizatoriai, komutaciniai įrenginiai) ir netgi nutolusius failus iš išorinių atminties nešiklių.

Komandinių serverių registraciniai duomenys ir informacija, esanti  kenkėjiškos programinės įrangos failuose, suteikia rimtą pagrindą manyti, kad kibernetiniai nusikaltėliai turi rusiškas šaknis.

„Lietuvos ir Latvijos teritorijoje buvo užkrėsti diplomatinių atstovybių kompiuteriai. Šiuo metu mes dirbame, kad galėtume informuoti užkrėstų kompiuterių ir tinklų savininkus, tačiau iki mūsų ataskaitos publikavimo atakuojantieji buvo aktyvūs. Estijoje nebuvo užfiksuota incidentų, susijusių su „Red October“ atakomis. Tačiau tai nereiškia, kad šios šalies teritorijoje užkrėtimų nebuvo anksčiau“, – komentuoja Vitalijus Kamliuk, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas.

„Kaspersky Lab“ kartu su tarptautinėmis organizacijomis, teisėsaugos institucijomis ir nacionalinėmis reagavimo į komposterinius incidentus komandomis („Computer Emergency Response Teams, CERT“) tęsia operacijos tyrimą, suteikdama techninę ekspertizę ir resursus informavimui ir užkrėstų sistemų „gydymui“.

Išsamią informaciją galima rasti čia: http://www.securelist.com/en/analysis