Il malware rosso di ottobre scoperto dopo anni di furto di dati

Un gruppo oscuro di hacker ha sifonato dati di intelligence in tutto il mondo da reti informatiche di ricerca diplomatica, governativa e scientifica per più di cinque anni, compresi obiettivi negli Stati Uniti, secondo un rapporto da Kaspersky Lab.

Kaspersky Lab ha iniziato a ricercare gli attacchi malware in ottobre e li ha soprannominati "Rocra", abbreviazione di "Red October". Rocra utilizza una serie di vulnerabilità di sicurezza in Microsoft Excel, Word e documenti PDF da infettare PC, smartphone e apparecchiature di rete per computer. Martedì i ricercatori hanno scoperto che la piattaforma malware utilizza anche exploit Java basati sul Web.

Non è chiaro chi sia dietro gli attacchi, ma Rocra utilizza almeno tre exploit noti in origine creati dagli hacker cinesi. La programmazione di Rocra, tuttavia, sembra provenire da un gruppo separato di operatori russofoni, secondo il rapporto di Kaspersky Lab.

[Ulteriori letture: il tuo nuovo PC ha bisogno di questi 15 programmi gratuiti, eccellenti]

Gli attacchi sono in corso e mirato alle istituzioni di alto livello nei cosiddetti attacchi di pesca subacquea. Kaspersky stima che gli attacchi di ottobre rosso abbiano probabilmente ottenuto centinaia di terabyte di dati nel tempo in cui è stato operativo, il che potrebbe essere già maggio 2007.

Le infezioni da Rocra sono state scoperte in più di 300 paesi tra il 2011 e il 2012, su informazioni dai prodotti antivirus di Kaspersky. I paesi colpiti erano principalmente ex membri dell'URSS, tra cui la Russia (35 infezioni), il Kazakistan (21) e l'Azerbaigian (15).

Altri paesi con un alto numero di infezioni includono Belgio (15), India (14), Afghanistan (10) e Armenia (10). Sei infezioni sono state scoperte presso le ambasciate situate negli Stati Uniti. Poiché questi numeri provengono solo da computer che utilizzano il software Kaspersky, il numero reale di infezioni potrebbe essere molto più elevato.

Prendi tutto

Kaspersky ha affermato che il malware utilizzato in Rocra può rubare dati dalle workstation PC e dagli smartphone connessi ai PC incluso il Telefoni iPhone, Nokia e Windows Mobile. Rocra può acquisire informazioni sulla configurazione della rete da apparecchiature con marchio Cisco e acquisire file da unità disco rimovibili compresi i dati cancellati.

La piattaforma malware può anche rubare messaggi e allegati di posta elettronica, registrare tutte le sequenze di tasti di una macchina infetta, fare screenshot, e acquisisci la cronologia di navigazione da browser Chrome, Firefox, Internet Explorer e Opera Web. Come se non bastasse, Rocra cattura anche i file archiviati sui server FTP della rete locale e può replicarsi su una rete locale.

Par per il corso

Anche se le funzionalità di Rocra appaiono estese, non tutti nel campo della sicurezza è stato colpito dai metodi di attacco di Rocra. "Sembra che gli exploit utilizzati non siano avanzati in alcun modo", ha detto la società di sicurezza F-Secure sul suo blog aziendale. "Gli aggressori hanno usato vecchi, noti exploit Word, Excel e Java. Finora, non è stato usato alcun segno di vulnerabilità zero-day. "Una vulnerabilità zero-day si riferisce a exploit precedentemente sconosciuti scoperti in natura.

Nonostante non sia impressionata dalla sua capacità tecnica, F-Secure dice che gli attacchi di ottobre rosso sono interessanti per il periodo di tempo in cui Rocra è stato attivo e la scala dello spionaggio intrapresa da un singolo gruppo. "Tuttavia," ha aggiunto F-Secure. "La triste verità è che aziende e governi subiscono costantemente attacchi simili da molte fonti diverse."

Rocra inizia quando una vittima scarica e apre un file di produttività dannoso (Excel, Word, PDF) che può quindi recuperare più malware da Rocra server command-and-control, un metodo noto come dropper Trojan. Questo secondo ciclo di malware include programmi che raccolgono dati e inviano tali informazioni agli hacker.

I dati rubati possono includere tipi di file giornalieri come testo normale, testo RTF, Word ed Excel, ma gli attacchi di ottobre rosso vanno anche dopo i dati crittografici come file crittografati pgp e gpg.

Inoltre, Rocra cerca i file che usano Estensioni "Acid Cryptofile", che è un software crittografico utilizzato da governi e organizzazioni tra cui l'Unione Europea e l'Organizzazione del Trattato del Nord Atlantico. Non è chiaro se le persone dietro Rocra siano in grado di decifrare i dati crittografati che ottengono.

E-mail rebirth

Rocra è anche particolarmente resistente alle interferenze delle forze dell'ordine, secondo Kaspersky. Se i server command-and-control della campagna sono stati chiusi, gli hacker hanno progettato il sistema in modo che possano riprendere il controllo sulla loro piattaforma malware con una semplice e-mail.

Uno dei componenti di Rocra cerca qualsiasi documento PDF o Office in arrivo che contiene codice eseguibile ed è contrassegnato con tag di metadati speciali. Il documento supererà tutti i controlli di sicurezza, afferma Kaspersky, ma una volta scaricato e aperto, Rocra può avviare un'applicazione dannosa collegata al documento e continuare a fornire dati ai cattivi. Usando questo trucco, tutto ciò che gli hacker devono fare è impostare alcuni nuovi server e inviare tramite posta elettronica documenti dannosi alle precedenti vittime per tornare in attività.

I server di Rocra sono configurati come una serie di proxy (i server si nascondono dietro altri server), il che rende molto più difficile scoprire la fonte degli attacchi. Kasperksy sostiene che la complessità delle infrastrutture di Rocra è in contrasto con quella del malware Flame, che è stato anche usato per infettare i PC e rubare dati sensibili. Non c'è connessione nota tra Rocra, Flame o malware come Duqu, che è stato creato su un codice simile a Stuxnet.

Come notato da F-Secure, gli attacchi di ottobre rosso non sembrano fare qualcosa di particolarmente nuovo, ma la quantità di tempo in cui questa campagna malware è stata in circolazione è impressionante. Analogamente ad altre campagne di spionaggio informatico come Flame, Red October fa affidamento sugli utenti del doppiaggio per scaricare e aprire file dannosi o visitare siti Web dannosi in cui il codice può essere iniettato nei loro dispositivi. Ciò suggerisce che mentre lo spionaggio informatico può essere in aumento, le basi della sicurezza informatica possono fare molto per prevenire questi attacchi.

Adottare le precauzioni

Precauzioni utili come essere cauti con i file di mittenti sconosciuti o stare attenti a i file fuori dal carattere dal presunto mittente sono un buon inizio. È anche utile essere cauti nel visitare siti web che non conosci o di cui ti fidi, specialmente quando utilizzi attrezzature aziendali. Infine, assicurati di disporre di tutti gli ultimi aggiornamenti di sicurezza per la tua versione di Windows e prendi seriamente in considerazione la possibilità di disattivare Java, a meno che tu non ne abbia assolutamente bisogno. Potresti non essere in grado di prevenire ogni tipo di attacco, ma aderire alle pratiche di sicurezza di base può proteggerti da molti cattivi attori online.

Kaspersky dice che non è chiaro se gli attacchi di ottobre rosso siano opera di uno stato nazionale o di criminali vendere dati sensibili sul mercato nero. La società di sicurezza prevede di rilasciare ulteriori informazioni su Rocra nei prossimi giorni.

Se sei preoccupato che i tuoi sistemi siano interessati da Rocra, F-Secure dice che il suo software antivirus è in grado di rilevare gli exploit attualmente utilizzati Attacchi rossi di ottobre. Il software antivirus di Kaspersky può anche rilevare minacce da Rocra.