Đỏ Tháng 10 được phát hiện sau nhiều năm ăn cắp dữ liệu trong tự nhiên

Một nhóm tin tặc đã đánh cắp dữ liệu thông minh trên toàn thế giới từ mạng lưới máy tính ngoại giao, chính phủ và nghiên cứu khoa học trong hơn 5 năm. Kaspersky Lab bắt đầu nghiên cứu các cuộc tấn công phần mềm độc hại vào tháng 10 và gọi họ là "Rocra", viết tắt của "Red October". Rocra sử dụng một số lỗ hổng bảo mật trong các loại tài liệu Microsoft Excel, Word và PDF Máy tính, điện thoại thông minh và thiết bị mạng máy tính. Vào ngày thứ ba, các nhà nghiên cứu phát hiện ra nền tảng phần mềm độc hại cũng sử dụng các khai thác Java dựa trên Web.

Không rõ ai là người đứng đằng sau các cuộc tấn công, nhưng Rocra sử dụng ít nhất ba khai thác công khai ban đầu được tạo ra bởi tin tặc Trung Quốc. Tuy nhiên, lập trình của Rocra dường như là từ một nhóm các cộng tác viên nói tiếng Nga riêng biệt, theo báo cáo từ Kaspersky Lab.

[Đọc thêm: PC mới của bạn cần 15 chương trình tuyệt vời, miễn phí]

Các cuộc tấn công là đang diễn ra và nhắm vào các tổ chức cấp cao trong cái được gọi là các cuộc tấn công đánh bắt bằng giáo. Kaspersky ước tính rằng các cuộc tấn công vào tháng Mười Đỏ có khả năng thu được hàng trăm terabyte dữ liệu trong thời gian nó hoạt động, có thể là vào đầu tháng 5/2007.

Nhiễm trùng Rocra được phát hiện ở hơn 300 quốc gia trong giai đoạn 2011-2012. về thông tin từ các sản phẩm chống vi-rút của Kaspersky. Các quốc gia bị ảnh hưởng chủ yếu là các thành viên cũ của Liên Xô, bao gồm Nga (35 nhiễm trùng), Kazakhstan (21) và Azerbaijan (15).

Các quốc gia khác có nhiều bệnh nhiễm trùng bao gồm Bỉ (15), Ấn Độ (14), Afghanistan (10), và Armenia (10). Sáu bệnh nhiễm trùng đã được phát hiện tại các đại sứ quán ở Hoa Kỳ. Bởi vì những con số này chỉ đến từ các máy sử dụng phần mềm Kaspersky, số lượng nhiễm trùng thực sự có thể cao hơn rất nhiều.

Mất tất cả

Kaspersky cho biết phần mềm độc hại được sử dụng trong Rocra có thể lấy cắp dữ liệu từ máy trạm PC và điện thoại thông minh kết nối với PC. Điện thoại di động iPhone, Nokia và Windows Mobile. Rocra có thể lấy thông tin cấu hình mạng từ thiết bị mang thương hiệu Cisco và lấy các tập tin từ ổ đĩa di động bao gồm cả dữ liệu bị xóa.

Nền tảng phần mềm độc hại cũng có thể ăn cắp thư điện tử và tập tin đính kèm, ghi lại tất cả các tổ hợp phím của máy bị nhiễm, chụp ảnh màn hình, và lấy lịch sử duyệt web từ trình duyệt Chrome, Firefox, Internet Explorer và Opera Web. Như vậy là không đủ, Rocra cũng lấy các tập tin được lưu trữ trên máy chủ FTP cục bộ và có thể tự sao chép qua mạng cục bộ.

Par cho khóa học

Mặc dù khả năng của Rocra xuất hiện rộng rãi, chứ không phải mọi người trong lĩnh vực bảo mật đã bị ấn tượng bởi phương pháp tấn công của Rocra. "Nó xuất hiện các khai thác được sử dụng không được nâng cao trong bất kỳ cách nào", công ty bảo mật F-Secure cho biết trên blog của công ty. “Những kẻ tấn công sử dụng Word, Excel và Java khai thác cũ, nổi tiếng. Cho đến nay, không có dấu hiệu của lỗ hổng zero-day đang được sử dụng. ”Một lỗ hổng zero-day đề cập đến các khai thác chưa biết trước đó được phát hiện trong tự nhiên.

Mặc dù không bị ấn tượng bởi khả năng kỹ thuật của nó. rất thú vị vì khoảng thời gian Rocra đã hoạt động và quy mô hoạt động gián điệp được thực hiện bởi một nhóm duy nhất. “Tuy nhiên,” F-Secure nói thêm. "Sự thật đáng buồn là các công ty và chính phủ liên tục bị tấn công tương tự từ nhiều nguồn khác nhau."

Rocra bắt đầu khi nạn nhân tải xuống và mở một tệp năng suất độc hại (Excel, Word, PDF). các máy chủ điều khiển và lệnh, một phương thức được gọi là trình giảm Trojan. Phần mềm độc hại thứ hai này bao gồm các chương trình thu thập dữ liệu và gửi lại thông tin đó cho tin tặc.

Dữ liệu bị đánh cắp có thể bao gồm các loại tệp hàng ngày như văn bản thuần tuý, văn bản đa dạng, Word và Excel, nhưng các cuộc tấn công vào tháng 10 cũng đi sau dữ liệu mật mã như tệp pgp và gpg.

Ngoài ra, Rocra tìm kiếm các tệp sử dụng Các phần mở rộng "Cryptofile Acid", là phần mềm mã hóa được sử dụng bởi các chính phủ và các tổ chức bao gồm Liên minh châu Âu và Tổ chức Hiệp ước Bắc Đại Tây Dương. Không rõ liệu những người đứng đằng sau Rocra có khả năng giải mã bất kỳ dữ liệu mã hóa nào mà họ có được hay không.

E-mail tái sinh

Rocra cũng đặc biệt chống lại sự can thiệp từ thực thi pháp luật. Nếu các máy chủ điều khiển và lệnh của chiến dịch bị đóng, các tin tặc đã thiết kế hệ thống để họ có thể lấy lại quyền kiểm soát nền tảng phần mềm độc hại của họ bằng một e-mail đơn giản.

Một trong các thành phần của Rocra tìm kiếm bất kỳ tài liệu PDF hoặc Office nào chứa mã thực thi và được gắn cờ với các thẻ siêu dữ liệu đặc biệt. Các tài liệu sẽ vượt qua tất cả các kiểm tra bảo mật, Kaspersky nói, nhưng một khi nó được tải về và mở, Rocra có thể bắt đầu một ứng dụng độc hại gắn liền với tài liệu và tiếp tục cung cấp dữ liệu cho những kẻ xấu. Sử dụng thủ thuật này, tất cả các tin tặc phải làm là thiết lập một số máy chủ mới và các tài liệu e-mail độc hại cho các nạn nhân trước đó để trở lại hoạt động kinh doanh.

Các máy chủ của Rocra được thiết lập như một loạt proxy (máy chủ ẩn sau các máy chủ khác)), khiến việc khám phá nguồn gốc của các cuộc tấn công trở nên khó khăn hơn nhiều. Kasperksy cho biết sự phức tạp của các đối thủ cơ sở hạ tầng của Rocra là phần mềm độc hại của Flame, cũng được sử dụng để lây nhiễm cho PC và ăn cắp dữ liệu nhạy cảm. Không có mối liên hệ nào giữa Rocra, Flame hoặc phần mềm độc hại như Duqu, được xây dựng trên mã tương tự như Stuxnet.

Như đã lưu ý của F-Secure, các cuộc tấn công của Red October dường như không làm gì đặc biệt mới, nhưng số lượng thời gian chiến dịch phần mềm độc hại này đã được trong tự nhiên là ấn tượng. Tương tự như các chiến dịch gián điệp mạng khác như Flame, Red October dựa vào việc người dùng lừa đảo tải xuống và mở các tệp độc hại hoặc truy cập các trang web độc hại nơi mã có thể được đưa vào thiết bị của họ. Điều này cho thấy rằng trong khi gián điệp máy tính có thể đang gia tăng, những điều cơ bản về bảo mật máy tính có thể đi một chặng đường dài để ngăn chặn các cuộc tấn công này. các tệp không nằm trong ký tự từ người gửi có mục đích của họ là một khởi đầu tốt. Bạn cũng nên thận trọng khi truy cập các trang web mà bạn không biết hoặc tin tưởng, đặc biệt là khi sử dụng thiết bị của công ty. Cuối cùng, hãy chắc chắn rằng bạn có tất cả các bản cập nhật bảo mật mới nhất cho phiên bản Windows của mình và cân nhắc nghiêm túc việc tắt Java trừ khi bạn thực sự cần nó. Bạn có thể không ngăn được mọi cách tấn công, nhưng tôn trọng những thực hành bảo mật cơ bản có thể bảo vệ bạn khỏi nhiều diễn viên xấu trên mạng.

Kaspersky nói rằng không rõ liệu cuộc tấn công vào tháng 10 là công việc của một quốc gia hay tội phạm bán dữ liệu nhạy cảm trên thị trường chợ đen. Công ty bảo mật có kế hoạch phát hành thêm thông tin về Rocra trong những ngày tới.

Nếu bạn lo lắng về việc liệu bất kỳ hệ thống nào của bạn có bị ảnh hưởng bởi Rocra hay không, F-Secure nói rằng phần mềm chống vi-rút của nó có thể phát hiện các khai thác hiện đang được sử dụng trong Cuộc tấn công vào tháng Mười Đỏ. Phần mềm diệt virus của Kaspersky cũng có thể phát hiện các mối đe dọa từ Rocra.