A világot behálózó cyber kémkedési akciót lepleztek le, amely diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, legalább öt éve. A támadássorozat elsődlegesen a kelet-európai országokat, a korábbi Szovjetunió tagjait és Közép-Ázsiát célozza, de mindenhol előfordulnak incidensek, beleértve Nyugat-Európát és Észak-Amerikát is. A támadók célja, hogy kritikus dokumentumokat lopjanak a szervezetektől, köztük geopolitikai információkat, számítógépes rendszerek hozzáféréséhez szükséges hitelesítéseket  és személyes adatokat mobil eszközökről és hálózati berendezésekről.

A Kaspersky Lab a világ legnagyobb magántulajdonban lévő IT biztonsági megoldásokat gyártó vállalata tavaly ősszel kezdett vizsgálódni a nemzetközi diplomáciai szervezetek számítógépes rendszerei elleni támadássorozat nyomán és eközben egy nagyszabású kémkedési hálózatra derítettek fényt. A Kaspersky Lab jelentése szerint a Vörös Október művelet, aminek röviden a “Rocra” nevet adták, jelenleg is aktív, kezdete pedig egészen 2007-ig nyúlik vissza.

Közbelép az internetes James Bond, ki is az a Vörös Október?

A Vörös Október ezúttal nem egy elszabadult atommeghajtású tengeralattjáró, hanem egy fejlett cyber kémkedési hálózat. A támadók 2007 óta aktívak és elsősorban a diplomáciai és kormányzati szervekre összpontosítanak szerte a világon, továbbá a kutatóintézetek, energetikai és nukleáris csoportok, a kereskedelmi és légügyi szervezetek is a célpontjaik között szerepelnek. A Vörös Október bűnözői saját számítógépes kártevőt fejlesztettek ki, amelyet nyomozása során a Kaspersky Lab “Rocra” néven azonosított. Ennek a kártékony programnak saját, egyedi speciális felépítése van, és úgy tervezték, hogy adatlopásra specializált kiegészítőkkel és úgynevezett „backdoor” trójaikkal jogosulatlan hozzáférést biztosítanak a rendszerhez, így téve lehetővé személyes adatok ellopását.

A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 domain nevet és számos szerver hosting rendszert hoztak létre különböző országokban, legtöbbet közülük Németországban és Oroszországban. A Rocra C&C (Command & Control) elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxy-ként működött, vagyis az volt a feladata, hogy elrejtse az “anyahajót”, tehát a központi, a vezérlő szerver helyét.

Áldozatok

Hogy megfertőzzék a rendszert, a bűnözők célzott, vagyis egy különleges, adathalász emailt küldtek az áldozatnak, személyre szabott trójaival, vagyis önállóan szaporodó vírussal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony email olyan elemeket tartalmazott, amely a Microsoft Office és Microsoft Excel biztonsági réseit használta ki. Az egyetlen dolog, amiben a Rocra által használt dokumentum eltér a megszokottól, vagy normálistól, az a beágyazható futtatható fájl, amit viszont a támadók saját kódjukkal helyettesítettek.

Hol vannak a célpontok?

A Kaspersky Lab szakértői két módszert alkalmaztak a célpontok elemzésére. Egyrészről a Kaspersky Security Network (KSN) felhőalapú biztonsági szolgáltatás felderítési statisztikáit vették alapul, másfelől a kutatók létrehoztak egy úgynevezett „sinkhole” rendszert, amellyel nyomon követték azokat a fertőzött pontokat, amelyek végül a Rocra C&C szervereihez kapcsolódtak. A két különböző módszerrel kapott adatok megerősítették az eredményeket. Így derült ki, hogy a KSN több száz egyedi fertőzött rendszert fedezett fel, a legtöbb nagykövetségeket, kormányzati hálózatokat és szervezeteket, tudományos kutatóintézeteket és konzulátusokat érintett. A fertőzött rendszerek többsége Kelet-Európából származott, de azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is.

A másik esetben viszont elemeztek, méghozzá tavaly novembertől idén január elejéig. Ez idő alatt 250 fertőzött IP címtől származó több mint 55 0000 kapcsolatot jegyeztek fel 39 országban. Érdekes módon a legtöbb fertőzött IP kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.

Zseniális támadóeszközök

Olyan rendszert használnak a támadók, amely számos bővítményt és rosszindulatú fájlt tartalmaz, pontosan azért, hogy könnyen alkalmazkodjon a különböző rendszerkonfigurációkhoz és gyorsan gyűjtsön információt a fertőzött gépekről. Ez a platform csak a Rocrára jellemző és korábbi cyber kémkedésnél ilyet még nem tapasztaltak. Ezzel a programmal a támadók képesek feltámasztani a fertőzött gépeket, mert a vírus elemek beépülnek az Adobe Reader és a Microsoft Office telepítésekbe, tehát ha fel is fedezik a kémprogramot, vagy leirtják a gépről, akkor is a rendszerben maradnak kitörölhetetlenül bizonyos elemek. És elég csak egy PDF, vagy Office dokumentumot küldeni és a vírus máris teszi a dolgát a gépen.

A kémmmodulok fő célja az információlopás. Ez magában foglalja különböző titkosítási rendszerek fájljait, akár olyanokat is, amelyeket olyan szervezetek használnak, mint a NATO, az Európai Unió, az Európai Parlament és Európai Bizottság. A hagyományos munkaállomások támadásán kívül a rosszindulatú program képes adatot lopni mobil eszközökről is, például okostelefonokról. Ezenfelül a kártevő konfigurációs adatokat is gyűjt vállalati hálózati berendezésektől, mint például routerek, switchek valamint cserélhető merevlemezekről származó törölt fájlok. A támadók és a rendszer kiagyalói nagy valószínűséggel az orosz hacker társadalom tagjai.