Campanha de Malware Red October e a Busca por Dados

A recente descoberta do malware Red October tem focado muito em seus efeitos, mas uma atenção inadequada tem sido dada a sua finalidade - que conseguiu, com sucesso, driblar as soluções anti-vírus e sistemas de detecção de intrusão de rede por pelo menos cinco anos. O malware continha muitas das funções tradicionais associadas, tais como registro de chave. Mas focar nesses recursos tradicionais perde um ponto muito importante: o seqüestro de dados locais, como arquivos e credenciais, sendo classificado como produto do meio, mas não o fim.




Operação de Ciber-Espionagem e Reciclagem de Dados Roubados

Red October continha dois aspectos interessantes: os atacantes haviam reciclado dados roubados de vítimas do mesmo setor para fazer seus spear phishing menos suspeitos, incorporando algum contexto que seria familiar para as suas vítima. Além disso, tinha a capacidade de identificar e acessar os centros de dados importantes. As vítimas desta operação de ciber-espionagem pertenciam aos setores mais protegidos - governo, energia, aeroespacial e militar. A recompensa potencial que pode ser extraída de tais vítimas é variada, tanto em relação ao conteúdo quanto na espécie: documentos e apresentações de resumos de reuniões e planos estratégicos, registros de dados financeiros, registros de CRM, projetos técnicos de armas e de infra-estrutura, conversas de e-mail e informações consideradas mais sensíveis.

Rocra, o nome do malware usado na campanha Red October, tem módulos específicos para cada um dos elementos necessários para um ataque APT: isso envolve coleta de reconhecimento, proliferação, persistência de manutenção, extração de dados e exfiltração desses dados.


Saiba Mais:

[1] Net Security - Malware News http://www.net-security.org/malware_news.php?id=2396