Roel Schouwenberg, a Kaspersky Lab célzott támadásokkal, kiberhadviselési és pro-aktív elhárítási technológiákkal foglalkozó észak-amerikai kutatási vezetője New Yorkban, a "Kaspersky Cyber-Security Summit 2013" kiberbiztonsági csúcsértekezleten elmondta: ez azonban csak egy része a szükséges tennivalóknak, mivel szükség van még az okozott kár felmérésére és a további károkozás megelőzésére is.
A Red October fertőzésre tavaly októberben bukkantak rá a Kaspersky Lab szakemberei - innen kapta a nevét, és abból, hogy kódolása valószínűleg orosz nyelven történt. A vírus orosz nyelven küldte vissza a "poloska telepítve" üzenetet megbízójának.
A Red October semmilyen forradalmi megoldást nem képviselt. Sikerét, hogy legalább öt éven át észrevételen tudott maradni, pusztán kivételesen professzionális kivitelezésének köszönhette - mutatott rá Roel Schouwenberg.
Kormányzati és kutatóintézetek a célkeresztben
A Red October elsősorban diplomáciai, kormányzati és kutató intézeteket támadó kiberkémkedési program. Elsősorban kelet-európai országokat, szovjet utódállamokat és közép-ázsiai országokat vett célba, de voltak áldozatai Észak-Amerikában és Nyugat-Európában is.
A Kaspersky szakembere nem adott részletes tájékoztatást a Red October magyarországi kártevéséről, ugyanakkor elmondta, hogy nagy valószínűséggel jelszavakat tulajdonított el és email postaládákat tört fel. A vírus eltávolítása után ezért meg kell erősíteni a hálótatok védelmi rendszerét, s át kell tekinteni a számítógépes rendszer teljes egészét - figyelmeztetett. Kifejtette, mindez azért is fontos, mert ma még kevesen fordítanak kellő figyelmet a mobil eszközök, okostelefonok vírusvédelmi átvizsgálására.
A Red October nem volt válogatós, "vitt mindent, ami a keze ügyébe került": az összes elérhető készülékről az összes elérhető adatot. Az adatok szortírozása aztán értékes és értéktelen adatokra már valószínűleg a megbízónál történt. Mivel a megbízók már minden bizonnyal pontosan ismerik a megtámadott rendszerek architektúráját, ajánlatos azokat átalakítani. Egy olyan hálózat, amelyben minden dolgozó hozzá tud férni mindenhez, "a támadók legjobb barátja" - fogalmazott Roel Schouwenberg.
Aláhúzta: a legfontosabb annak átvizsgálása hogyan csatlakoznak, hogyan lépnek be a hálózatba az alkalmazottak bentről és kintről, hogyan érik el például email postaládájukat.
Honnan lehet tudni, hogy támadtak?
A fertőzések jeleiről szólva a Kaspersky Lab szakembere elmondta, hogy a támadások úgy vannak megtervezve, hogy semmilyen jelét ne adják létezésüknek. A Stuxnet vírust is csak egy kódolási hiba árulta el, ami akaratlanul "kékhalált" okozott néhány számítógépnél. A célzott támadásoknak azonban rendszerint mégis van valamilyen jele, általában programleállás formájában.
A célzott támadások túlnyomórészt elektronikus levéllel történnek, valamely csatolmány útján. Amennyiben egy megnyitott csatolmány, legyen az Excel, Word, vagy Adobe dokumentum egy pillanatra eltűnik, majd ismét megjelenik, akkor nagyon valószínű, hogy támadás történt. Ilyenkor mindenképpen értesíteni kell az IT-szakembereket. Az igazán fejlett támadásoknak azonban ilyen és hasonló látható jelei már nincsenek - figyelmeztetett.
