|
Свободное программное обеспечение Linux, Unix, BSD и другие системы. Открытые технологии, обмен опытом |
|
Опции темы |
13.09.2013, 16:00 | #1 |
Модератор
Регистрация: 28.11.2007
Адрес: Город-Герой Ленинград
Сообщений: 4,070
Репутация: 1476
|
Операция «Red October» – обширная сеть кибершпионажа
Операция «Red October» – обширная сеть кибершпионажа против дипломатических и государственных структур
Очень интересная информация о шпионской сети, раскрытой Лабораторией Касперского! Шпионы воровали всё подряд почти во всех странах. Интересно и название, которое дали своей операции сотрудники Лаборатории – «Красный октябрь»... Сегодня мы публикуем первую часть отчёта о нашем исследовании «Red October». В ближайшие дни будет опубликована и вторая часть, содержащая детальное техническое описание всех известных модулей Sputnik. Следите за новостями! На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций. Несколько месяцев эксперты «Лаборатории Касперского» анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки. Эта операция, которую мы назвали «Red October» (в сокращении «Rocra») продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имён C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились ещё в мае 2007 года. Несколько ключевых фактов, обнаруженных в ходе нашего расследования: * Атакующие были активны на протяжении последних 5 лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира. * Информация, собранная из заражённых сетей, использовалась в последующих атаках. Например, украденные учётные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях. * Для контроля и управления сетью заражённых систем атакующие создали более 60 различных доменных имён и несколько серверов, размещённых на хостингах в разных странах (в основном в Германии и России). * Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные. * Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются «Лабораторией Касперсого» как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к заражённым системам, используя альтернативные каналы связи. * Помимо традиционных целей атак (рабочие станции), система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удалённые файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удалённого POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети. * Мы обнаружили использование, как минимум, трёх различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word. * Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы Red October только заменяли исполняемые файлы в документах на свои. * В ходе последовательного распространения в локальной сети жертвы, атакующие внедряли модуль для сканирования сети с целью поиска станций, уязвимых для эксплойта к MS08-067 (уязвимость, использованная червем Conficker) или доступных при помощи администраторского аккаунта и собственной базы паролей. Отдельный модуль использовался для сбора информации для заражения серверов в той же сети. * Регистрационные данные серверов управления и различные «артефакты», оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие – русскоязычные. * Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы. FAQ Что такое Red October? Red October – это серия целевых атак, которые происходили, как минимум, на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям: 1. Правительственные структуры. 2. Дипломатические ведомства/посольства. 3. Исследовательские институты. 4. Торговые и коммерческие структуры. 5. Ядерные/энергетические исследования. 6. Нефтяные и газовые компании. 7. Аэрокосмическая отрасль. 8. Военные ведомства и компании, связанные с созданием вооружений. Весьма возможно, что существуют и другие категории организаций-мишеней, которые ещё не были нами выявлены или были атакованы в прошлом. Как и когда эта операция была обнаружена? Мы начали наше исследование атак в октябре 2012 года по просьбе одного из наших партнёров. В ходе анализа атаки, писем и вредоносных модулей, мы обнаружили истинные размеры кампании и начали её полномасштабное расследование. Кто предоставил вам вредоносные файлы? Мы получили их от нашего партнёра, который и был заказчиком исследования. Он предпочитает оставаться анонимным. Как много заражённых систем было обнаружено Лабораторией Касперского? Сколько всего может быть жертв? Каков размах операции Red October в глобальном масштабе? За последние месяцы мы обнаружили несколько сотен заражений по всему миру – все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения мы идентифицировали, в основном, в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например, в Люксембурге и Швейцарии. Основываясь на данных, полученных при помощи Kaspersky Security Network (KSN), мы составили список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik (включены страны с 5 и более заражениями): Страна Число заражений Россия 38 Казахстан 21 Азербайджан 15 Бельгия 15 Индия 14 Афганистан 10 Армения 10 Иран 7 Туркменистан 7 Украина 6 США 6 Вьетнам 6 Белоруссия 5 Греция 5 Италия 5 Марокко 5 Пакистан 5 Швейцария 5 Уганда 5 Объединённые Арабские Эмираты 5 Кто скрывается за этой атакой? Эти атаки были организованы при поддержке какого-то государства? Информация, которой мы обладаем, не даёт возможности прямого определения какого-либо специфического источника атаки, однако мы выделяем два важных факта: * Используемые эксплойты изначально были созданы китайскими хакерами. * Вредоносные модули Red October были созданы русскоязычными специалистами. В настоящий момент у нас нет фактов, свидетельствующих о прямом участии в этой атаке какого-либо государства. Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на «чёрном рынке» и продана любому, кто предложит наиболее высокую цену. Есть какие-нибудь интересные тексты в файлах, на основании которых можно предположить происхождение атакующих? Несколько модулей содержат интересные опечатки и ошибки… Использованное здесь слово PROGA, возможно, является транслитерацией русского слова ПРОГА, которое на жаргоне русскоговорящих программистов означает буквально приложение или программу. Слово ‘Zakladka‘ имеет два значения в русском языке: * Книжная закладка * Специфический термин в отношении скрытого функционала в программе или устройстве. Так же можно назвать микрофон, спрятанный внутри кирпича в стене посольства. C++ class, который содержит конфигурацию параметров для C&C, называется "MPTraitor", и соответствующая конфигурационная секция в ресурсах называется "conn_a". Несколько примеров… Какая информация похищается из зараженных систем? Информация включает в себя документы с расширениями: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. В частности, расширение «acid*» принадлежит секретному программному обеспечению для шифрования «Acid Cryptofiler», которое используется в некоторых структурах Евросоюза и NATO. Что является целью операции? Что они искали, проводя эти атаки так много лет? Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга, и неизвестно, как эта информация была использована. Каков механизм заражения? Имеется ли функционал самораспространения? Как это работает? Основной модуль вредоносного комплекса выполняет функцию «точки входа» в систему и позволяет загрузить дополнительные модули для следующих стадий атаки. После начального заражения сам по себе вредоносный модуль в сети не распространяется. Обычно атакующие несколько дней собирают информацию, определяют ключевые системы и затем устанавливают дополнительные модули, которые могут заражать другие компьютеры в сети разными методами, например, используя эксплойт MS08-067. В общем, платформа создана для выполнения «задач», которые поступают от серверов управления. Большинство таких «задач» представляют собой PE DLL библиотеки, которые загружаются с сервера, исполняются в памяти компьютера без создания файлов на диске и «исчезают» после выполнения работы. Некоторые задачи, впрочем, требуют постоянного наличия в системе файлов, которые, например, ожидают подключения телефонов iPhone или Nokia. Такие задачи выполняются при помощи PE EXE файлов, установленных в систему. Примеры постоянных задач * При подключении USB диска найти и извлечь с него файлы по маске/формату, включая удалённые ранее файлы. Удалённые файлы восстанавливаются при помощи специального файлового обработчика. * Ожидать подключения мобильного телефона iPhone/Nokia. После подключения собрать информацию об устройстве, скопировать его адресную книгу, список контактов, историю звонков, SMS сообщения, данные календаря, историю браузера. * Ожидать подключения телефона на базе Windows Mobile. После подключения заразить телефон мобильным вариантом основного компонента бэкдора. * Ожидать открытия специального документа Microsoft Office или PDF и выполнить вредоносные инструкции, содержащиеся в таком документе, – реализуя таким образом односторонний скрытый канал коммуникации, который может быть использован для восстановления контроля за системой, например в случае отключения используемых серверов управления. * Запись всех вводимых данных с клавиатуры, снятие скриншотов. * Исполнение дополнительных зашифрованных модулей, согласно предопределённому расписанию. * Сбор почтовых сообщений и вложенных файлов из Microsoft Outlook, а также их доступных почтовых серверов (используются ранее полученные учётные данные). Примеры одноразовых задач * Сбор общей информации о системе и устройствах окружения. * Сбор информации о файловой системе и сетевом окружении, составление списка каталогов, поиск и извлечение файлов по маске по команде сервера управления. * Сбор информации об установленных программах, особенно об Oracle DB, RAdmin, IM software включая Mail.Ru agent, драйверах и приложениях для Windows Mobile, телефонах Nokia, SonyEricsson, HTC, Android, USB дисках. * Извлечение истории из браузеров Chrome, Firefox, Internet Explorer, Opera. * Извлечение сохранённых паролей к Web-сайтам, FTP-серверам, почтовым и IM аккаунтам. * Извлечение хешей аккаунтов Windows, вероятно, для их последующего подбора-взлома. * Извлечение аккаунтов Outlook. * Определение внешнего IP-адреса заражённой системы. * Загрузка файлов с FTP-серверов, которые доступны с заражённой системы (включая те, которые находятся в локальной сети), с использованием полученных ранее (например в ходе других атак) данных авторизации. * Запись и/или исполнение произвольного кода. * Осуществление сетевого сканирования, доступ и сбор конфигурационных данных с сетевых устройств Cisco. * Осуществление сетевого сканирования предопределённого диапазона и заражение систем, уязвимых для MS08-067. * Распространение по локальной сети (используются ранее полученные административные привилегии). Платформа была разработана атакующими с нуля и не использовалась в каких-либо других известных нам операциях. Известно несколько модулей, которые созданы для кражи данных с нескольких типов устройств/операционных систем: * Windows Mobile * iPhone * Nokia Эти модули устанавливаются в систему и ожидают подключения к ней мобильного устройства. После подключения устройств модули начинают сбор данных с мобильных телефонов. Мы не исключаем существования модулей для устройств на базе Android или телефонов BlackBerry, но в настоящий момент нами они не обнаружены. Сколько вариантов модулей и вредоносных файлов было обнаружено в ходе расследования операции Red October? В ходе расследования мы обнаружили более 1000 файлов, относящихся к 30 различным группам модулей. Все они были созданы в период с 2007 года по начало 2013, а самые свежие датированы 8 января 2013 года. Вот полный список известных модулей Backdoor.Win32.Sputnik и их категорий… Эти атаки осуществлялись точечно против избранных целей высокого ранга, или они были рассчитаны на широкий круг организаций/жертв? Все атаки были тщательно подготовлены со знанием специфики целей. Например, все исходные файлы документов были модифицированы и снабжены уникальными модулями, скомпилированными с уникальным ID цели. Далее, использовался высокий уровень взаимодействия между атакующими и заражённым объектом – операция разворачивалась в зависимости от того, какая конфигурация на компьютере и в сети жертвы, какие типы документов используются, какие установлены приложения на рабочей станции, какой родной язык жертвы и так далее. В сравнении с кампаниями кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более «персональные» и ориентированы на конкретные жертвы. Это как-то связано с вредоносными программами Duqu, Flame и Gauss? Говоря кратко, мы не обнаружили никаких связей между Red October и Flame/Tilded платформами. Можно как-то сравнить операцию Red October c похожими кибершпионскими операциями, такими как Aurora или Night Dragon? Есть значительные отличия или сходство? В сравнении с Aurora и Night Dragon, Red October гораздо более сложная и комплексная операция. В ходе расследования мы обнаружили более 1000 уникальных файлов из 30 различных групп модулей Backdoor.Win32.Sputnik. Aurora и Night Dragon использовали более простые вредоносные программы для кражи информации, чем Red October. Кроме того, в ходе операции Red October атакующие умудрились оставаться «в игре» больше 5 лет, избегая детектирования со стороны большинства антивирусных решений и, по нашей оценке, похитив к настоящему времени сотни терабайт информации. Как много серверов управления использовалось? Провели ли вы их исследования? В ходе расследования мы обнаружили более 60 доменных имён, использованных атакующими для контроля и получения данных жертв. Домены размещались на нескольких десятках IP-адресов, расположенных в основном в Германии и России. Это схема инфраструктуры операции, которую мы наблюдали в ходе нашего анализа в конце 2012 года… Более детальная информация о серверах управления будет опубликована нами позднее. Осуществляли ли вы sinkhole каких-нибудь Command & Control серверов? Да, нам удалось «перехватить» шесть из более чем 60 доменов, использованных в разных вариантах бэкдора. В ходе мониторинга в период со 2 ноября 2012 по 10 января 2013 года мы зарегистрировали более 55 000 подключений к нашему sinkhole. Общее количество различных IP-адресов, с которых происходили сеансы подключений, составляет 250. С точки зрения географического распространения этих подключений мы установили 39 стран. Наибольшее количество IP-адресов было в Швейцарии. Казахстан и Греция на втором и третьем местах. В ходе этого расследования взаимодействует ли Лаборатория Касперского с правительственными организациями, Computer Emergency Response Teams (CERTs), правоохранительными органами или компаниями по безопасности? «Лаборатория Касперского», в сотрудничестве с международными организациями, правоохранительными органами, национальными Computer Emergency Response Teams (CERTs) и другими IT security компаниями, продолжает расследование операции Red October, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению заражённых систем. «Лаборатория Касперского» выражает благодарность US-CERT, CERT Румынии и CERT Беларуси (Оперативно-аналитический центр при Президенте Республики Беларусь) за их помощь в этом расследовании. Олег Ларин Источник: rodvzv.com - newsland.com |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Цензура началась в обход закона: учителям ограничен доступ в сеть. | А.Лексей | Угрозы России и братским народам | 7 | 19.04.2010 19:03 |
В Дагестане операция по ликвидации группы боевиков вступает в завершающую фазу | Admin | Новости Российской политики и экономики | 0 | 14.05.2009 17:33 |
1 марта: «Операция рейдеры». План захвата подмосковных городов | Admin | Московская область и Москва | 0 | 15.02.2009 02:01 |
Новый интернет-проект - Русская Сеть | Михаил Медведский | Каталог красных ресурсов | 9 | 29.07.2007 12:40 |