Car-tech

Red October-skadelig programvare oppdaget etter år med å stjele data i naturen

Internet Technologies - Computer Science for Business Leaders 2016

Internet Technologies - Computer Science for Business Leaders 2016

Innholdsfortegnelse:

Anonim

En skyggefull gruppe hackere har siphoned intelligensdata over hele verden fra diplomatiske, offentlige og vitenskapelige datanettverk i mer enn fem år, inkludert mål i USA, ifølge en rapporter fra Kaspersky Lab.

Kaspersky Lab begynte å undersøke malwareangrepene i oktober og kalte dem "Rocra", kort for "Red October." Rocra bruker en rekke sikkerhetsproblemer i Microsoft Excel, Word og PDF-dokumenter typer for å infisere PCer, smarttelefoner og datanettverksutstyr. På tirsdag oppdaget forskerne at malwareplattformen også bruker nettbaserte Java-utgaver.

Det er ikke klart hvem som ligger bak angrepene, men Rocra bruker minst tre offentlig kjente bruksområder opprinnelig opprettet av kinesiske hackere. Rocras programmering synes imidlertid å være fra en egen gruppe russisktalende operasjoner, ifølge rapporten fra Kaspersky Lab.

[Videre lesing: Din nye PC trenger disse 15 gratis, gode programmene]

Angrepene er pågående og målrettet på institusjoner på høyt nivå i såkalte spydfiskeangrep. Kaspersky anslår at angrepene i oktober i oktober har sannsynligvis oppnådd hundrevis av terabyte data i tiden den har vært i drift, noe som kan være så tidlig som i mai 2007.

Rocra-infeksjoner ble oppdaget i mer enn 300 land mellom 2011 og 2012, basert på på informasjon fra Kasperskys antivirusprodukter. Berørte land var først og fremst tidligere medlemmer av Sovjetunionen, inkludert Russland (35 infeksjoner), Kasakhstan (21) og Aserbajdsjan (15).

Andre land med høyt antall infeksjoner er Belgia (15), India (14) Afghanistan (10), og Armenia (10). Seks infeksjoner ble avdekket på ambassader i USA. Fordi disse tallene bare kom fra maskiner som bruker Kaspersky-programvare, kan det virkelige antallet infeksjoner være mye høyere.

Ta alt

Kaspersky sa at skadelig programvare som brukes i Rocra, kan stjele data fra PC-arbeidsstasjoner og smarttelefoner som er koblet til PCer, inkludert iPhone, Nokia og Windows Mobile-telefoner. Rocra kan skaffe seg nettverkskonfigurasjonsinformasjon fra Cisco-merket utstyr, og ta tak i filer fra flyttbare disker, inkludert slettede data.

Malware-plattformen kan også stjele e-postmeldinger og vedlegg, ta opp alle tastetrykk på en infisert maskin, ta skjermbilder, og ta tak i nettleserloggen fra Chrome, Firefox, Internet Explorer og Opera nettlesere. Som om det ikke var nok, griper Rocra også filer lagret på FTP-servere på lokale nettverk og kan replikere seg over et lokalt nettverk.

Par for kurset

Selv om Rocras evner ser ut til å være omfattende, ikke alle i sikkerhetsfeltet var imponert over Rocras angrepsmetoder. "Det ser ut til at utnyttelsene som benyttes ikke var avanserte på noen måte," sa sikkerhetsfirmaet F-Secure på selskapets blogg. "Angriperne brukte gamle, velkjente Word-, Excel- og Java-utnyttelser. Hittil er det ikke noe tegn på at nulldagssårbarheter blir brukt. "En nulldagssårbarhet refererer til tidligere ukjente oppdagelser som ble oppdaget i naturen.

Til tross for å være uimpresjonert av sin tekniske kapasitet, sier F-Secure angrepene i oktober er interessant på grunn av lengden av tiden Rocra har vært aktiv og omfanget av spionasje utført av en enkelt gruppe. "Men," F-Secure lagt til. "Den triste sannheten er at bedrifter og regjeringer stadig er under lignende angrep fra mange forskjellige kilder."

Rocra starter når et offer laster ned og åpner en skadelig produktivitetsfil (Excel, Word, PDF) som deretter kan hente mer skadelig programvare fra Rocras kommando-og-kontroll servere, en metode kjent som en trojansk dropper. Denne andre runden av skadelig programvare inneholder programmer som samler inn data og sender den informasjonen tilbake til hackere.

Stjålne data kan inneholde hverdagsfiltyper som vanlig tekst, rik tekst, Word og Excel, men angrepene i Red October går også etter kryptografiske data som pgp og gpg krypterte filer.

I tillegg søker Rocra etter filer som bruker "Acid Cryptofile" -utvidelser, som er kryptografisk programvare som brukes av regjeringer og organisasjoner, inkludert EU og Nordatlantiske traktatorganisasjonen. Det er ikke klart om folk bak Rocra er i stand til å dechifrere eventuelle krypterte data de får.

E-post gjenfødelse

Rocra er også spesielt motstandsdyktig mot forstyrrelser fra rettshåndhevelse, ifølge Kaspersky. Hvis kampanjens kommando- og kontrollservere ble stengt, har hackerne designet systemet slik at de kan få kontroll over malwareplattformen med en enkel e-post.

En av Rocras komponenter søker etter et innkommende PDF- eller Office-dokument som inneholder kjørbar kode og er flagget med spesielle metadatakoder. Dokumentet vil passere alle sikkerhetskontroller, sier Kaspersky, men når det er lastet ned og åpnet, kan Rocra starte et skadelig program som er vedlagt dokumentet og fortsette å mate data til de slemme gutta. Bruke dette trikset, alle hackere må gjøre, er å sette opp noen nye servere og e-post skadelige dokumenter til tidligere ofre for å komme seg tilbake i virksomheten.

Rocras servere er satt opp som en rekke proxyer (servere som gjemmer seg bak andre servere), noe som gjør det mye vanskeligere å oppdage kilden til angrepene. Kasperksy sier at kompleksiteten til Rocras infrastruktur konkurrerer med Flame malware, som også ble brukt til å infisere PCer og stjele sensitive data. Det er ingen kjent sammenheng mellom Rocra, Flame eller malware som Duqu, som ble bygget på kode som ligner Stuxnet.

Som angitt av F-Secure, ser det ut som om de raske oktober-angrepene ikke gjør noe spesielt nytt, men hvor lang tid denne malware-kampanjen har vært i naturen, er imponerende. I likhet med andre nettspioneringskampanjer som Flame, Red October er avhengig av at dupper brukerne til å laste ned og åpne skadelige filer eller besøke ondsinnede nettsteder der kode kan injiseres i enhetene sine. Dette antyder at mens datamaskinen spionasje kan være i ferd med å øke, kan grunnleggende datasikkerhet gå langt for å forhindre disse angrepene.

Ta forholdsregler

Nyttige forholdsregler som å være forsiktige med filer fra ukjente sendere eller passe på filer som er ute av karakter fra den påståtte avsenderen er en god start. Det er også nyttig å være forsiktig med å besøke nettsteder du ikke kjenner eller stoler på, spesielt når du bruker bedriftsutstyr. Til slutt, sørg for at du har alle de siste sikkerhetsoppdateringene for din versjon av Windows, og ser på alvor å slå av Java, med mindre du absolutt trenger det. Du kan ikke være i stand til å forhindre alle slags angrep, men i tråd med grunnleggende sikkerhetspraksis kan du beskytte deg mot mange dårlige aktører på nettet.

Kaspersky sier at det ikke er klart om angrepene i oktober er et nasjonalt eller kriminals arbeid å selge sensitive data på det svarte markedet. Sikkerhetsselskapet planlegger å frigjøre mer informasjon om Rocra i de kommende dagene.

Hvis du er bekymret for om noen av systemene dine er påvirket av Rocra, sier F-Secure at antivirusprogramvaren kan oppdage de eksisterende kjennetegnene som brukes i Røde oktoberangrep. Kasperskys antivirusprogramvare kan også oppdage trusler fra Rocra.