Octubre rojo: ¡los cañones Aurora ya no se disparan!

Kaspersky Lab publicó hoy un nuevo informe que identifica un nuevo ataque de ciberespionaje que ha estado atacando a organizaciones diplomáticas, gubernamentales y de investigación científica en todo el mundo durante al menos cinco años. La serie de ataques está dirigida principalmente a países de Europa del Este, miembros de la ex Unión Soviética y Asia Central, pero los incidentes ocurren en todas partes, incluidas Europa Occidental y América del Norte.

Los atacantes tienen como objetivo robar documentos críticos de las organizaciones, incluida la información geopolítica, las autenticaciones necesarias para acceder a los sistemas informáticos y la información personal de dispositivos móviles y equipos de red.

En octubre de 2012, Kaspersky Lab lanzó una investigación experta sobre una serie de ataques a los sistemas informáticos de organizaciones diplomáticas internacionales, que expusieron una red de ciberespionaje a gran escala. Kaspersky Lab informa que la operación Octubre Rojo, abreviada como "Rocra", todavía está activa y comenzará en 2007.

Principales resultados de la investigación:

Octubre Rojo es una red avanzada de ciberespionaje: los atacantes han estado activos desde al menos 2007 y se centran principalmente en agencias diplomáticas y gubernamentales de todo el mundo, así como en institutos de investigación, grupos energéticos y nucleares, y organizaciones comerciales y de aviación. Los criminales de Octubre Rojo han desarrollado su propia plaga, que Kaspersky Lab ha identificado como “Rocra”. Este malware tiene su propia estructura modular única con extensiones maliciosas, módulos especializados en robo de datos y los denominados troyanos “backdoor”, que permiten el acceso no autorizado al sistema y así permiten la instalación de malware adicional y el robo de datos personales.

Los atacantes suelen utilizar información extraída de redes infectadas para acceder a sistemas adicionales. Por ejemplo, las autenticaciones robadas pueden proporcionar pistas sobre las contraseñas o frases necesarias para acceder a sistemas adicionales.

Para controlar la red de máquinas infectadas, los atacantes establecieron más de 60 nombres de dominio y varios sistemas de alojamiento de servidores en diferentes países, la mayoría de ellos en Alemania y Rusia. Un análisis de la infraestructura C&C (Command & Control) de Rocra mostró que la cadena de servidores en realidad actuaba como un proxy para ocultar la "nave nodriza", es decir, la ubicación del servidor de control.

Los documentos que contienen información robada de sistemas infectados incluyen las siguientes extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidca, aciddsk, acidpvr, acidppr, acidsa. La extensión "acid" puede referirse al software "Acid Cryptofiler" utilizado por muchas instituciones desde la Unión Europea hasta la OTAN.

Víctimas

Para infectar el sistema, los delincuentes enviaron correos electrónicos dirigidos a la víctima con un "cuentagotas" troyano personalizado, un virus que podía reproducirse por sí solo. Para instalar el malware e infectar su sistema, el correo electrónico malicioso contenía exploits que explotaban vulnerabilidades en Microsoft Office y Microsoft Excel. Los exploits en el mensaje de phishing fueron creados por otros atacantes y utilizados durante varios ciberataques, incluidos activistas tibetanos y objetivos militares y energéticos en Asia. Lo único que hace que el documento utilizado por Rocra sea diferente es el archivo ejecutable incrustable que los atacantes reemplazaron con su propio código. En particular, uno de los comandos del cuentagotas troyano cambió la página de códigos del sistema predeterminada de la línea de comandos a 1251, que es necesaria para la fuente cirílica.

Objetivos

Los expertos de Kaspersky Lab utilizaron dos métodos para analizar los objetivos. Por un lado, se basan en las estadísticas de descubrimiento de servicios de seguridad basadas en la nube de Kaspersky Security Network (KSN), que los productos de Kaspersky Lab utilizan para informar sobre telemetría y proporcionar protección avanzada mediante listas negras y reglas heurísticas. Ya en 2011, KSN detectó el código de explotación utilizado en el malware, lo que desencadenó un proceso de supervisión adicional relacionado con Rocra. El segundo método de los investigadores fue crear un sistema llamado "sumidero" para rastrear el sistema infectado que se conectaba a los servidores C&C de Rocra. Los datos obtenidos por los dos métodos diferentes confirmaron de forma independiente los resultados.

• Estadísticas de KSN: KSN ha descubierto cientos de sistemas infectados únicos, la mayoría relacionados con embajadas, redes y organizaciones gubernamentales, institutos de investigación científica y consulados. Según los datos recopilados por KSN, la mayoría de los sistemas infectados se originaron en Europa del Este, pero también se han identificado incidentes en América del Norte y países de Europa Occidental, Suiza y Luxemburgo.
• Estadísticas de sumideros: el análisis de sumideros de Kaspersky Lab duró desde el 2012 de noviembre de 2 hasta el 2013 de enero de 10. Durante este tiempo, se registraron más de 250 conexiones de 55 direcciones IP infectadas en 0000 países. La mayoría de las conexiones IP infectadas procedían de Suiza, Kazajstán y Grecia.

Malware Rocra: estructura y funcionalidad únicas

Los atacantes han creado una plataforma multifuncional que incluye una serie de complementos y archivos maliciosos para adaptarse fácilmente a diferentes configuraciones del sistema y obtener valor intelectual de las máquinas infectadas. Esta plataforma es exclusiva de Rocra, Kaspersky Lab no ha visto nada similar en campañas de ciberespionaje anteriores. Sus principales características son:

• Módulo "Resucitar": este módulo único permite a los atacantes resucitar equipos infectados. El módulo está integrado como un complemento en las instalaciones de Adobe Reader y Microsoft Office y proporciona una forma segura para que los delincuentes recuperen el acceso al sistema de destino en caso de que se descubra y elimine el cuerpo principal del malware, o cuando haya vulnerabilidades en el sistema. está arreglado. Una vez que los C&C funcionan nuevamente, los atacantes envían un archivo de documento especial (PDF u Office) a la máquina de las víctimas por correo electrónico, que reactiva el malware.
• Módulos de espionaje avanzados: el propósito principal de los módulos de espionaje es robar información. Esto incluye archivos de varios sistemas de cifrado, como Acid Cryptofiler, que utilizan organizaciones como la OTAN, la Unión Europea, el Parlamento Europeo y la Comisión Europea.
• Dispositivos móviles: además de atacar las estaciones de trabajo tradicionales, el malware también puede robar datos de dispositivos móviles como teléfonos inteligentes (iPhone, Nokia y Windows Mobile). Además, el malware recopila datos de configuración de archivos eliminados de dispositivos de red corporativos, como enrutadores, conmutadores y discos duros extraíbles.

Acerca de los atacantes: según los datos de registro de los servidores de C&C y una serie de restos encontrados en los archivos ejecutables del malware, pruebas técnicas sólidas apuntan al origen ruso de los atacantes. Además, los archivos ejecutables utilizados por los delincuentes se desconocían hasta ahora y los expertos de Kaspersky Lab no los identificaron en sus análisis de ciberespionaje anteriores.

Con su experiencia técnica y sus recursos, Kaspersky Lab continuará investigando a Rocra en estrecha cooperación con organizaciones internacionales, agencias de aplicación de la ley y centros de seguridad de redes nacionales.

Kaspersky Lab desea agradecer a US-CERT, CERT rumanos y CERT bielorruso por su ayuda en la investigación.

Los productos de Kaspersky Lab, clasificados como Backdoor.Win32.Sputnik, se han detectado, bloqueado y restaurado con éxito.