O principal objetivo dos atacantes era reunir documentos sensíveis das organizações comprometidas, o que incluía inteligência geopolítica, as credenciais para acessar sistemas de computadores classificados, e dados de dispositivos pessoais móveis e equipamentos de rede. Em outubro de 2012, a Kaspersky Lab tendo à frente sua equipe de especialistas, iniciou uma investigação após uma série de ataques contra redes de computadores destinadas às agências internacionais de serviços diplomáticos. A grande escala da rede cibernética de espionagem foi revelada e analisada durante a investigação.
Principais Resultados da Pesquisa
Os atacantes tem atuado, pelo menos desde 2007 e tem vindo a apostar em agências diplomáticas e governamentais de vários países em todo o mundo, além de instituições de pesquisa, grupos de energia nuclear, comércio e metas aeroespaciais. Os atacantes do "Outubro Vermelho" projetaram seu próprio malware, identificado como "Rocra", que tem sua própria arquitetura única e modular composta por extensões maliciosas, módulos info-stealing e trojans backdoor.
Além disso, eles tem acesso às informações muitas vezes tirando proveito de redes infectadas, como uma forma de ganhar a entrada em sistemas adicionais. Por exemplo, credenciais roubadas foram compiladas em uma lista e utilizadas quando os atacantes julgaram necessários, para adivinhar senhas ou frases para obter acesso a sistemas adicionais.
Os atacantes obtiveram informações muitas vezes utilizadas de redes infectadas, como uma forma de ganhar a entrada em sistemas adicionais. Por exemplo, credenciais roubadas foram compiladas em uma lista e utilizadas quando os atacantes acharem necessários para adivinhar senhas ou frases, com a intenção de obter acesso a sistemas adicionais. Para controlar a rede de máquinas infectadas, os atacantes criaram mais de 60 nomes de domínio e os locais de hospedagem de servidores diversos em diferentes países, sendo a maioria na Alemanha e na Rússia.
A análise da Kaspersky Lab relacionada ao servidor de Comando e Controle do Rocra (C2) mostra que a cadeia de servidores estava realmente trabalhando como proxies para esconder a localização do servidor de controle da 'nave-mãe'. Além disso, informações roubadas dos sistemas infectados inclui documentos com extensões: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, CIF, chave, crt, câncer, hse, PGP, GPG, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Em particular, o "acid*" extensões parece referir-se ao anúncio de software "Acid Cryptofiler", que é usado por várias entidades, da União Europeia à NATO.
Infectando Vítimas
Para infectar sistemas, os atacantes enviaram um e-mail de phishing para a vítima, que incluiu um trojan dropper personalizado. A fim de instalar o malware e infectar o sistema do e-mail malicioso, foram includos os exploits que foram manipulados para vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.
As façanhas dos documentos utilizados nos e-mails de phishing foram criadas por outros atacantes e empregadas durante ataques cibernéticos diferentes, incluindo ativistas tibetanos, bem como as metas do setor militar e energia na Ásia. A única coisa que mudou no documento utilizado por Rocra foi o executável incorporado, que os atacantes substituiram-no com seu próprio código. Notavelmente, um dos comandos no trojan dropper mudou a página de códigos do sistema padrão da sessão de prompt de comando para 1251, que é necessário para tornar caracteres cirílicos.
Especialistas da Kaspersky Lab utilizados dois métodos para analisar as vítimas-alvo. Primeiro, eles usaram estatísticas de detecção da Kaspersky Security Network (KSN), que é o serviço de segurança baseado em nuvem usada por produtos da Kaspersky Lab para relatar telemetria e fornecer proteção avançada contra ameaças na forma de listas negras e regras heurísticas. KSN foi detectar o código de exploração utilizado em que o malware no início de 2011, o que permitiu especialistas da Kaspersky Lab para procurar detecções semelhantes relacionados com Rocra.
O segundo método utilizado pela equipe de pesquisa da Kaspersky Lab foi a criação de um servidor de sumidouro, para que eles pudessem monitorar as máquinas infectadas se conectando aos servidores C2 Rocra. Os dados recebidos durante a análise de ambos os métodos, vão desde duas maneiras independentes de correlacionar e confirmar suas descobertas.
Malware Rocra: Arquitetura Original e Funcionalidade
Os atacantes criaram uma plataforma de ataque multi-funcional que inclui diversas extensões e arquivos maliciosos projetados para se ajustar rapidamente às configurações de sistemas diferentes e inteligência relaionados à máquinas infectadas. A plataforma é exclusiva para o Rocra e não foi identificada pela Kaspersky Lab, em anteriores campanhas de ciber-espionagem. As características notáveis incluem:
"Ressurrection" module: Um módulo único, que permite que os atacantes possam "ressuscitar" máquinas infectadas. O módulo é incorporado como um plug-in dentro do Adobe Reader e instalações do Microsoft Office, e fornece aos crackers uma maneira infalível para recuperar o acesso a um sistema de destino se o elemento principal for de um malware descoberto e removido, ou se o sistema está atualizado. Uma vez que os C2 estão em atividades operacionais novamente, os atacantes enviam um arquivo de documento especializado (PDF ou documento do Office) para máquinas das vítimas, por meio de e-mail, que irá ativar o malware novamente.
Advanced cryptographic spy-modules: o objetivo principal dos módulos de espionagem é roubar informações. Isso inclui arquivos de sistemas criptográficos diferentes, tais como Acyd Cryptofiler, que é conhecido por ser usado em organizações da NATO, da União Europeia, Parlamento Europeu e Comissão Européia desde o verão de 2011, com o intuito de proteger informações confidenciais.
Dispositivos móveis: Além de visar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile). O malware também é capaz de roubar informações de configuração da empresa de equipamentos de rede como roteadores e switches, bem como arquivos apagados de discos removíveis. Com base nos dados cadastrais dos servidores C2 e os inúmeros artefatos deixados em executáveis do malware, há evidência técnica forte para indicar que os atacantes têm origens russas.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2375