Операция 'Red October'

[lom]

На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

 

Несколько месяцев эксперты 'Лаборатории Касперского' анализировали вредоносные файлы, использованные в атаке, которая была нацелена на конкретные организации в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

 

Эта операция, которую мы назвали 'Red October' (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

 

Несколько ключевых фактов, обнаруженных в ходе нашего расследования:

 

• Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
  
• Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
  
• Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).
  
• Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
  
• Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются 'Лабораторией Касперсого' как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.
  
• Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.
  
• Мы обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.
  
• Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы Red October только заменяли исполняемые файлы в документах на свои.
  
• В ходе последовательного распространения в локальной сети жертвы, атакующие внедряли модуль для сканирования сети с целью поиска станций, уязвимых для эксплойта к MS08-067 (уязвимость, использованная червем Conficker) или доступных при помощи администраторского аккаунта и собственной базы паролей. Отдельный модуль использовался для сбора информации для заражения серверов в той же сети.
  
• Регистрационные данные серверов управления и различные 'артефакты', оставленные в исполняемых файлах, дают веские основания для предположения, что атакующие - русскоязычные.
  
• Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными нам целевыми атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы.
  

 

Продолжение здесь

[Pomka.]

«Касперский»: вирус Red October похищал секретные данные

http://news.rambler.ru/17160683/

[alexlubiy]

Лаборатория Касперского объявила об обнаружении очередной изощрённой и масштабной сети кибершпионажа. По сложности она напоминает прошлогодний вирус Flame, а может и превосходит его, с учётом того, что каждая атака осуществлялась вручную. Вирус носит название Operation Red October (сокращённо Rocra) и функционирует по меньшей мере уже пять лет, с мая 2007 года. За это время её цели обнаруживаются по меньшей мере в двадцати странах, чаще всего представляя собой правительственных сотрудников, военных, учёных, представителей нефтяной, атомной, аэрокосмической и других ключевых областей промышленности. Среди стран преобладают представители Восточной Европы и Центральной Азии.

 

Кто стоит за созданием это сети, сейчас неизвестно, и установить будет весьма непросто. Главный командный центр операции надёжно укрыт за двумя эшелонами прокси-серверов, располагающихся на территории России, Германии и Австрии. Специалисты полагают, что используемые эксплоиты созданы китайскими программистами, а различные используемые модули являются делом рук русскоговорящих хакеров.

Известно, что использовались минимум два эксплоита в программе Microsoft Word и один в Excel, которые заражали компьютеры с применением направленных фишинговых схем. После получения доступа к компьютеру жертву злоумышленники получали доступ и к различной конфиденциальной информации посредством как единовременных, так и долгосрочных атак. Скачанные вредоносные файлы устанавливали на компьютер троян, который осуществлял в сети поиск других устройств с уязвимостями в системе безопасности. Устанавливаемые на компьютер вредоносные модули обычно представляли собой dll-библиотеки, которые после выполнения поставленных перед ними задач искусно скрывали следы своей деятельности. Также использовались и exe-файлы, которые могли никак не проявлять себя до нужного момента, например, подключения к компьютеру мобильного телефона. Известно, что жертвами вируса становились как аппараты на Microsoft Windows Phone, так и на iOS.

Среди перечня возможных действий можно назвать получение информации с флеш-дисков, включая удалённые файлы, запись последовательности нажатий клавиш клавиатуры, снятие скриншотов, получение доступа к почтовым сервисам и программе Microsoft Outlook, сбор истории посещённых вед-страниц и введённых паролей в браузерах, сканирование сетей на предмет нахождения новых потенциальных жертв, и другие не слишком законные деяния. Что потом делалось с полученной секретной информацией, также остаётся неизвестным. Лаборатория Касперского оценивает объём украденной за пять лет информации примерно в 5 Тб.

источник

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[overman]

не удивлюсь если сейчас еще круче работает шпионская сеть ... а эта уже была брошена

[Тётя Евдокия]

Pomka., ты всё помнишь.

А помните, я здесь однажды (больше года назад) спрашивала есть ли такой "червяк"(я толком не разбиралась в вирусах и червях) Красный Октябрь? Надо мной ещё посмеялись за это слово, хотя я его написала для юмора и взяла в кавычки. Но суть не в этом.

Как же так? Этот парниша из библиотеки ( он там бывает) знал об этом, а здесь сказали, что нет такого?!

P.S. А вдруг он имел отношение к хакерам? И просто проговорился?

Изменено 15 января, 2013 пользователем Тётя Евдокия

[lom]

Pomka., ты всё помнишь.

А помните, я здесь однажды (больше года назад) спрашивала есть ли такой "червяк"(я толком не разбиралась в вирусах и червях) Красный Октябрь? Надо мной ещё посмеялись за это слово, хотя я его написала для юмора и взяла в кавычки. Но суть не в этом.

Как же так? Этот парниша из библиотеки ( он там бывает) знал об этом, а здесь сказали, что нет такого?!

P.S. А вдруг он имел отношение к хакерам? И просто проговорился?

А что за тема была, что за паренек? Название вредоносам-то не сами вирусописатели дают, а антивирусные компании.

[Тётя Евдокия]

А что за тема была, что за паренек? Название вредоносам-то не сами вирусописатели дают, а антивирусные компании.

 

Вот и интересно. Случайно ли это? Попыталась найти через свои сообщения, но почему-то поиск не выдает их. В какой теме не помню. То ли вклинилась в чью-то Где-то, наверное, летом 2011 года., то ли сама создавала. Но в тот период, когда ставила в библиотеке пробную версию КИС. И вот у нас с ним, с парнем на счет вирусов-антивирусов полемика возникла. Вот он и воскликнул: А ты(Вы) знаешь что за вирус Красный Октябрь? Я честно сказала: нет, а сама решила у своих ребят спрошу.

[Roman_Five]

поиск не выдает их

http://forum.kasperskyclub.ru/index.php?sh...st&p=166018

[Тётя Евдокия]

http://forum.kasperskyclub.ru/index.php?sh...st&p=166018

Roman_Five, Как это ты смог?! Научи.

Когда я прошу найти все мои сообщения, мне выдается, что в целях предотвращения атак, надо через пять секуд повторить запрос. Но ни через пять, ни через еще пять... всё то же самое.

 

Ого-го, как это было оказывается давно.

Изменено 16 января, 2013 пользователем Тётя Евдокия

[Roman_Five]

Как это ты смог?! Научи.

http://forum.kasperskyclub.ru/index.php?ac...%F2%FF%E1%F0%E5

[Тётя Евдокия]

Да, пробовала я во всех темах, в том числе и в БЕСЕДКЕ, с ключевым словом "Красный Октябрь" найти, но эта тема, моя же, не включилась в найденных. А может на моём компе тож запущен Красный Октябрь?

 

И всё-таки, как же так, вирус обнаружен "вчера", а знали о нем пользователи "позавчера"? Ну не верю что-то я в такую случайность.

Или значит не ЛК дала ему название, а сами хакеры. А?

 

Название вредоносам-то не сами вирусописатели дают, а антивирусные компании.

[Pomka.]

Да, пробовала я во всех темах, в том числе и в БЕСЕДКЕ, с ключевым словом "Красный

И всё-таки, как же так, вирус обнаружен "вчера", а знали о нем пользователи "позавчера"? Ну не верю что-то я в такую случайность.

Или значит не ЛК дала ему название, а сами хакеры. А?

зачем политься на всю страну что был обнаружен такой серьезный вирус?

скорей всего его изучали... что он тырит и как и кому все сливает...

уверен что в ЛК даже смогли внедриться в него и перехватывали трафик того что тырит этот вирус

сейчас сидят читают секретные материалы))

после как его разобрали на части и всё выяснили сделали отличный пиар ход на весь мир

Изменено 17 января, 2013 пользователем Pomka.

[DWState]

Хм, но так или иначе ситуация с Евдокией подтверждает, что Красный Октябрь имеет русский след, но как мне кажется это некая международная группа действующая на планете в целом с несколькими офисами и кто же заказчик, а так же думаю что необошлось и без участия крупных брендов.

[_Strannik_]

зачем политься на всю страну что был обнаружен такой серьезный вирус?скорей всего его изучали... что он тырит и как и кому все сливает...

В принципе, правильно. А скорее всего что так и было.

А вот тема из далекого 2009 года вот это интересно, что совпадение? Или все же....?!

[Тётя Евдокия]

А вот тема из далекого 2009 года вот это интересно, что совпадение? Или все же....?!

 

"...что-то закрадываются сомнения..., как-то так в "Иван Васильевич меняет профессию"?

 

А может задать вопрос Е.К.? Как он прокомментирует такую ситуацию?