Οι επιτιθέμενοι δημιούργησαν ένα μοναδικό, άκρως ευέλικτο, malware με στόχο την υποκλοπή δεδομένων και γεωπολιτικών πληροφοριών από υπολογιστικά συστήματα, κινητά τηλέφωνα και εξοπλισμό εταιρικών δικτύων
Η Kaspersky Lab παρουσιάζει τα αποτελέσματα μιας νέας έρευνας, η οποία αφορά τον εντοπισμό μιας «κρυμμένης» εκστρατείας ψηφιακής κατασκοπείας, με στόχο διπλωματικούς και κυβερνητικούς οργανισμούς, καθώς και ιδρύματα επιστημονικής έρευνας. Η εκστρατεία τρέχει σε πολλές χώρες, εδώ και τουλάχιστον πέντε χρόνια. Επιπλέον, εστιάζει κυρίως σε χώρες της Ανατολικής Ευρώπης, της Πρώην Σοβιετικής Ένωσης και της Κεντρικής Ασίας, παρότι θύματα βρέθηκαν σχεδόν παντού, συμπεριλαμβανομένης της Δυτικής Ευρώπης και της Βόρειας Αμερικής. Βασικός στόχος των επιτιθέμενων ήταν να συγκεντρώσουν «ευαίσθητα» έγγραφα από τους παραπάνω οργανισμούς, συμπεριλαμβανομένων πληροφοριών γεωπολιτικής σημασίας, στοιχείων πρόσβασης σε υπολογιστικά συστήματα και δεδομένων από προσωπικές φορητές συσκευές και δικτυακό εξοπλισμό.
Οι ειδικοί της Kaspersky Lab ξεκίνησαν την έρευνα τον Οκτώβριο του 2012, έπειτα από σειρά επιθέσεων εναντία σε δίκτυα υπολογιστών, οι οποίες είχαν στόχο διπλωματικές υπηρεσίες. Κατά τη διάρκεια της έρευνας, αποκαλύφθηκε και αναλύθηκε ένα δίκτυο ψηφιακής κατασκοπείας μεγάλης κλίμακας. Σύμφωνα με την ανάλυση της Kaspersky Lab, η Επιχείρηση “Red October” (εν συντομία “Rocra”) παραμένει ενεργή και τον Ιανουάριο του 2013 και χρονολογείται από το 2007.
Τα βασικά ευρήματα της έρευνας
Το προηγμένο δίκτυο ψηφιακής κατασκοπείας του “Red October”: Οι επιτιθέμενοι δρουν ήδη από το 2007, εστιάζοντας τις επιθέσεις σε διπλωματικές και κυβερνητικές υπηρεσίες, ερευνητικά ιδρύματα, ενεργειακούς και πυρηνικούς ομίλους, καθώς και στόχους από τον εμπορικό και αεροδιαστημικό κλάδο, σε πολλές χώρες ανά τον κόσμο. Για την εκστρατεία Red October, αναπτύχθηκε ειδικό κακόβουλο λογισμικό, το οποίο αναγνωρίζεται με την ονομασία “Rocra”. Το Rocra διαθέτει τη δική του, μοναδική, αρθρωτή αρχιτεκτονική, η οποία αποτελείται από κακόβουλες επεκτάσεις, μονάδες υποκλοπής πληροφοριών και backdoor Trojans.
Οι επιτιθέμενοι συχνά χρησιμοποιούσαν τις πληροφορίες που αλίευαν από τα δίκτυα που είχαν προσβληθεί, ώστε να αποκτήσουν πρόσβαση σε περισσότερα συστήματα. Για παράδειγμα, χρησιμοποιούσαν κλεμμένα πιστοποιητικά πρόσβασης, τα οποία συγκέντρωναν σε μία λίστα και χρησιμοποιούσαν όταν έπρεπε να μαντέψουν κωδικούς ή φράσεις που απαιτούνταν για την πρόσβαση σε περισσότερα συστήματα.
Για να ελέγχουν το δίκτυο ή τις συσκευές που είχαν προσβληθεί, οι εγκληματίες δημιούργησαν περισσότερα από 60 domain names και αρκετές server hosting τοποθεσίες σε διάφορες χώρες, με την πλειονότητα τους να βρίσκεται στη Γερμανία και τη Ρωσία. Η ανάλυση της Kaspersky Lab για την υποδομή Command & Control του Rocra δείχνει ότι η αλυσίδα των servers λειτουργούσε ουσιαστικά σαν proxy, ώστε να κρύβεται η τοποθεσία του «μητρικού» control server.
Οι πληροφορίες που υποκλάπηκαν από τα «μολυσμένα» συστήματα περιλαμβάνουν έγγραφα με επεκτάσεις: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Συγκεκριμένα, η επέκταση “acid*” φαίνεται να αφορά το διαβαθμισμένο λογισμικό “Acid Cryptofiler”, το οποίο χρησιμοποιείται από αρκετούς φορείς – από την Ευρωπαϊκή Ένωση έως το ΝΑΤΟ.
Ο τρόπος «μόλυνσης» των θυμάτων
Για να παραβιάσουν τα συστήματα, οι εισβολείς έστελναν στο θύμα ένα στοχευμένο spear-phishing email, το οποίο περιελάμβανε ένα προσαρμοσμένο Trojan dropper. Για την εγκατάσταση του malware και την προσβολή του συστήματος, το κακόβουλο email περιλάμβανε exploits ειδικά προσαρμοσμένα για την εκμετάλλευση τρωτών σημείων του Office και του Excel της Microsoft. Τα exploits αυτά είχαν δημιουργηθεί από άλλους επιτιθέμενους και είχαν χρησιμοποιηθεί σε διάφορες ψηφιακές επιθέσεις, εναντίον Θιβετιανών ακτιβιστών, αλλά και στρατιωτικών και ενεργειακών στόχων στην Ασία. Το μόνο πράγμα που άλλαξε στο έγγραφο που χρησιμοποιήθηκε από το Rocra ήταν ο ενσωματωμένος εκτελέσιμος κώδικας, τον οποίο οι επιτιθέμενοι αντικατέστησαν με έναν δικό τους. Αξίζει να σημειωθεί ότι μία από τις εντολές στο Trojan dropper άλλαζε την προεπιλεγμένη κωδικοσελίδα του command prompt session στην κωδικοποίηση 1251, η οποία αφορά Κυριλλικές γραμματοσειρές.
Τα θύματα και οι οργανισμοί-στόχοι
Οι ειδικοί της Kaspersky Lab χρησιμοποίησαν δύο μεθόδους για να αναλύσουν τα θύματα που είχαν στοχοποιηθεί. Πρώτον, χρησιμοποίησαν τις στατιστικές εντοπισμού του Kaspersky Security Network (KSN), της cloud-based υπηρεσίας ασφαλείας που χρησιμοποιείται από τις λύσεις της Kaspersky Lab για αναφορές τηλεμετρίας και για την παροχή προηγμένης προστασίας βάσει «μαύρων λιστών» και ευρετικών κανόνων. Το KSN είχε εντοπίσει τον κώδικα του exploit που χρησιμοποιούταν από το κακόβουλο λογισμικό ήδη από το 2011, γεγονός που έδωσε στους ειδικούς της Kaspersky Lab τη δυνατότητα να ψάξουν για παρόμοιες δραστηριότητες που σχετίζονταν με το Rocra. Η δεύτερη μέθοδος που χρησιμοποιήθηκε από την ερευνητική ομάδα της Kaspersky Lab ήταν η δημιουργία ενός sinkhole server, ώστε να καταγράφονται τα μολυσμένα μηχανήματα που συνδέονταν στους Command & Control servers του Rocra. Τα δεδομένα που συλλέχθηκαν με τη χρήση των δύο μεθόδων οδήγησαν σε δύο ανεξάρτητους τρόπους συσχετισμού και επιβεβαίωσης των ευρημάτων.
• Στατιστικά από το KSN: Αρκετές εκατοντάδες προσβεβλημένα συστήματα εντοπίστηκαν βάσει των δεδομένων του KSN. Οι επιθέσεις εστίαζαν κυρίως σε πρεσβείες, κυβερνητικά δίκτυα και οργανισμούς, φορείς επιστημονικής έρευνας και προξενεία. Σύμφωνα με τα δεδομένα του KSN, τα περισσότερα περιστατικά εντοπίστηκαν κυρίως στην Ανατολική Ευρώπη. Ωστόσο, κρούσματα εντοπίστηκαν και στη Βόρεια Αμερική και σε χώρες της Δυτικής Ευρώπης, όπως η Ελβετία και το Λουξεμβούργο.
• Στατιστικά από τον sinkhole server: Η ανάλυση των δεδομένων από τον sinkhole server της Kaspersky Lab πραγματοποιήθηκε από τις 2 Νοεμβρίου 2012 μέχρι τις 10 Ιανουαρίου 2013. Σε αυτή την περίοδο, καταγράφηκαν πάνω από 55.000 συνδέσεις από 250 «μολυσμένες» διευθύνσεις ΙΡ, οι οποίες ήταν καταχωρημένες σε 39 χώρες. Η πλειοψηφία των μολυσμένων συνδέσεων ΙΡ προερχόταν από την Ελβετία, το Καζακστάν και την Ελλάδα.
Rocra malware: Μοναδική αρχιτεκτονική και λειτουργικότητα
Οι επιτιθέμενοι δημιούργησαν μια πολύ-λειτουργική πλατφόρμα που περιλαμβάνει αρκετές επεκτάσεις και κακόβουλα αρχεία, τα οποία είχαν αναπτυχθεί με στόχο να προσαρμόζονται γρήγορα στις ρυθμίσεις διαφορετικών δικτύων και να αποσπούν πληροφορίες από τις «μολυσμένες» συσκευές. Η πλατφόρμα του Rocra είναι μοναδική και δεν έχει εντοπιστεί από την Kaspersky Lab σε προηγούμενες επιθέσεις ψηφιακής κατασκοπείας. Στα αξιοσημείωτα χαρακτηριστικά της πλατφόρμας περιλαμβάνονται:
• Η μονάδα “Resurrection”: Πρόκειται για μια μοναδική στο είδος της μονάδα που δίνει στους επιτιθέμενους τη δυνατότητα να «αναστήσουν» τις συσκευές που έχουν προσβληθεί. Η μονάδα ενσωματώνεται ως plug-in σε εγκαταστάσεις Adobe Reader και Microsoft Office, παρέχοντας στους επιτιθέμενους έναν αλάνθαστο τρόπο για να ξανακερδίσουν πρόσβαση σε ένα στοχοποιημένο σύστημα, σε περίπτωση που το κυρίως σώμα του malware ανακαλυφθεί και αφαιρεθεί ή που το σύστημα επιδιορθωθεί. Μόλις οι Command & Control servers ξαναγίνουν λειτουργικοί, οι επιτιθέμενοι στέλνουν μέσω email ένα εξειδικευμένο έγγραφο (PDF ή Office) στις συσκευές των θυμάτων, το οποίο ενεργοποιεί το κακόβουλο λογισμικό ξανά.
• Οι προηγμένες μονάδες κρυπτογραφικής κατασκοπείας: Ο βασικός σκοπός των κατασκοπευτικών μονάδων είναι η υποκλοπή πληροφοριών, συμπεριλαμβανομένων αρχείων από διάφορα κρυπτογραφικά συστήματα, όπως το Acid Cryptofiler, το οποίο είναι γνωστό ότι χρησιμοποιείται σε οργανισμούς όπως το ΝΑΤΟ, η Ευρωπαϊκή Ένωση, το Ευρωκοινοβούλιο και η Ευρωπαϊκή Επιτροπή από το καλοκαίρι του 2011, με στόχο την προστασία των ευαίσθητων πληροφοριών.
• Η στοχοποίηση φορητών συσκευών: Παράλληλα με τη στοχοποίηση παραδοσιακών υπολογιστικών συστημάτων, το malware αυτό μπορεί να υποκλέπτει δεδομένα από φορητές συσκευές, όπως τα smartphones (iPhone, συσκευές Nokia και Windows Mobile). Επίσης, έχει τη δυνατότητα να υποκλέπτει πληροφορίες σχετικά με ρυθμίσεις από εταιρικό εξοπλισμό δικτύωσης, όπως τα routers και οι μεταγωγοί (switches), αλλά και να αποσπά διαγραμμένα αρχεία από αφαιρούμενους δίσκους.
Εντοπισμός των εισβολέων: Με βάση τα δεδομένα εγγραφής των Command & Control servers και τα πολυάριθμα αντικείμενα που απέμειναν σε εκτελέσιμα μέρη του κακόβουλου λογισμικού, υπάρχουν ισχυρά τεχνικά στοιχεία που υποδεικνύουν ότι οι εισβολείς προέρχονται από Ρωσόφωνες χώρες. Επιπλέον, τα εκτελέσιμα στοιχεία που χρησιμοποιούνται από τους εισβολείς ήταν άγνωστα μέχρι πρόσφατα, καθώς δεν είχαν εντοπιστεί από τους ειδικούς της Kaspersky Lab κατά την ανάλυση προηγούμενων επιθέσεων ψηφιακής κατασκοπείας.
Η Kaspersky Lab, σε συνεργασία με διεθνείς οργανισμούς, διωκτικές αρχές και ομάδες Emergency Response Teams (CERTs), συνεχίζει τις έρευνές της για το Rocra, παρέχοντας εξειδίκευση και πόρους για διαδικασίες αποκατάστασης και άμβλυνσης του προβλήματος.
Η Kaspersky Lab θέλει να ευχαριστήσει δημόσια τις ομάδες CERT των Η.Π.Α., της Ρουμανίας και της Λευκορωσίας για τη βοήθειά τους στην έρευνα.
Οι λύσεις της Kaspersky Lab μπορούν να εντοπίσουν, να μπλοκάρουν και να αφαιρέσουν το malware Rocra, το οποίο έχει καταχωρηθεί με την κωδική ονομασία Backdoor.Win32.Sputnik.
Για να διαβάσετε ολόκληρη την έρευνα των ειδικών της Kaspersky Lab για το Rocra, μπορείτε να επισκεφθείτε την ηλεκτρονική διεύθυνση Securelist.com.