Idioma:

Kaspersky Lab identifica campanha de ciberespionagem Outubro Vermelho

18 de janeiro de 2013 | Em Curiosidades | 203 visualizações | Por

Clique e compartilhe: 


A Kaspersky Lab anuncia a descoberta de uma nova campanha de ciberespionagem dirigida a órgãos diplomáticos e centros de investigação científica e governamentais em operação há pelo menos cinco anos. Os alvos são países do leste europeu, ex-membros da União Soviética e países da Ásia Central, embora entre as vítimas se encontre também órgãos da Europa Ocidental, América do Norte, Brasil e Chile.

espionagemEm Outubro de 2012, a equipe de analistas da Kaspersky Lab iniciou uma investigação com base em uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório da empresa, a Operação Outubro Vermelho, também chamada “Rocra” pela sua sigla em inglês, foi iniciada em 2007 e ainda está ativa nos dias de hoje.

Foram uitlizadas duas técnicas para a identificação do malware: a Kaspersky Security Network (KSN), rede de proteção baseada na nuvem presente em todos os produtos da empresa, que permitiu confirmar a infecção em centenas de embaixadas, institutos de investigação científica, consulados e sistemas governamentais e organizacionais foram infectados; e a criação de um servidor sinkhole, que permitiu determinar 55 mil ligações (de 250 endereços IPs em 39 países diferentes) realizadas no período entre novembro de 2012 e janeiro de 2013. A KSN detectava o código do exploit utilizado na operação Rocra desde 2011.

O principal objectivo dos criadores é obter documentos privados das organizações comprometidas, como dados de inteligência geopolítica, bem como credenciais de acesso a sistemas restritos, dispositivos móveis pessoais e equipamentos de rede. Os cibercriminosos usavam a informação coletadas nas redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista, que era utilizada para adivinhar senhas ou frases de acesso em outros sitemas críticos.

Os ataques concentram-se em agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, empresas de energia nuclear, comércio e indústrias aeroespaciais. A disseminação da campanha de ciberespiopnagem era realizada por meio de mensagens de phishing com um trojan personalizado, que era o responsável pela infecção do sistema de email malicioso e incluía exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.

Os criadores do Outubro Vermelho desenvolveram seu próprio malware, identificado como “Rocra”, que contava com uma arquitetura modular própria, composta por extensões, módulos maliciosos e trojans backdoors. A plataforma de ataque era multifuncional e utilizava diferentes extensões e arquivos maliciosos para se configurar adequadamente aos diferentes sistemas-alvos e extrair as informações dos equipamentos infectados. A plataforma do Rocra ainda não havia sido identificada em nenhuma campanha de ciberespionagem anterior.

Entre as principais descobertas, destaque-se:

  • Módulo de ressurreição: embutido em um plug-in dentro do Adobe Reader e na instalação do Microsoft Office, possibilita que o malware se reinstale, caso o corpo principal da infecção fosse eliminado ou o sistema fosse corrigido.
  • Módulos de encriptação de espionagem avançada: o o principal objetivo dos módulos de espionagem eramo roubo de informação. Incluindo arquivos de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado para proteger informação sensível em organizações como a OTAN, a União Européia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011.
  • Dispositivos móveis: além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile), incluindo informações de configuração de redes corporativas, como routers ou switches, bem como arquivos apagados de discos rígidos externos.
  • Identificação do atacante: com base no registro de dados nos servidores C&C e dos numerosos “artefatos” deixados nos executáveis do malware, existe uma forte evidência indicando que os atacantes têm origens relacionadas com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram encontrados em ataques de ciber-espionagem analisados pela Kaspersky Lab anteriormente.

A Kaspersky Lab, em colaboração com organizações internacionais, autoridades e CERTs (equipes de resposta a incidentes de segurança), continuará sua investigação sobre o Rocra. A empresa agradece ainda a US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação.

Os produtos da Kaspersky Lab detectam o malware Rocra como Backdoor.win32.sputnik, bloqueando-o e desativando-o.

Mais informações sobre a campanha Outubro Vermelho clique aqui.

De Ivaiporã/PR, Engenheiro de Computação, Administrador do Grupo Dicas em Geral. Apaixonado por Tecnologia e Informática.



Um pouco sobre nós

    O Grupo Dicas em Geral surgiu em 2007 a partir de idéias inovadoras sobre solução de problemas enfrentados diariamente por quem utiliza a Tecnologia e Informática, tanto usuários comuns quanto técnicos. Mas onde surgiu, por quê e qual é o propósito deste site?

Clique aqui e conheça!

Siga o Dicas em Geral no Google+

Vídeo da Semana