News Item: România, afectată de campania de spionaj cibernetic „Octombrie Roşu”?
(Category: PRESA)
Posted by justme
Tuesday 15 January 2013 - 16:21:59
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.2136 )
(Category: PRESA)
Posted by justme
Tuesday 15 January 2013 - 16:21:59
Foto: ziuaveche.ro
România, afectată de operaţiunea de spionaj cibernetic „Octombrie Roşu”. Kaspersky Lab a anunţat luni că a identificat operaţiunea „Octombrie Roşu”, o campanie avansată de spionaj cibernetic care ţinteşte instituţii guvernamentale şi diplomatice din întreaga lume.
Operaţiunea „Octombrie Roşu” sau Rocra, pare să se fi derulat cu precădere în ţări din Europa de Est, statele din zona fostei URSS, precum şi state din Asia Centrală.
Potrivit Kaspersky, după analizarea „datelor de înregistrare a serverelor C2, precum şi mai multor artifacte rămase în executabilele malware-ului, există dovezi tehnice temeinice că atacatorii sunt de origine dintr-o zonă rusofonă. În plus, executabilele folosite de atacatori au fost complet necunoscute până de curând şi nu au fost indentificate de experţii Kaspersky Lab în cursul analizelor nici unuia dintre precedentele atacuri de spionaj cibernetic”. Kaspersky Lab, în colaborare cu organizaţiile internaţionale, autorităţile şi echipele CERT (Computer Emergency Response Teams), vor continua investigaţiile asupra Rocra, punând la dispoziţie expertiza tehnică şi resursele pentru procedurile de remediere şi reducere a riscurilor. Rocra este un malware detectat, blocat şi remediat cu succes de către produsele Kaspersky Lab şi este clasificat ca Backdoor.Win32.Sputnik.
România, pe listă
Kaspersky Lab a anunţat că doreşte să mulţumească US-CERT, CERT România (CERT-RO) şi CERT Belarus pentru ajutorul acordat în timpul investigaţiei.
Şi România a intrat pe această listă. „Sunt patru IP-uri în România. Investigaţia este încă în desfăşurare. În momentul în care am identificat aceste patru victime, am luat toate măsurile necesare pentru reducerea efectelor atacurilor”, spune Dan Tofan, director tehnic la Centrul de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), citat de TVRInfo.ro.
Este vorba despre agenţii guvernamentale şi ambasade acreditate din Bucureşti. În afara anchetei Centrului de Răspuns la Incidente de Securitate Cibernetică, instituţiile vizate derulează propriile investigaţii.
Ce este CERT-RO – Centrul de Răspuns la Incidente de Securitate Cibernetică
CERT-RO – Centrul de Răspuns la Incidente de Securitate Cibernetică (Romanian Computer Emergecy Response Team) asigura elaborarea şi diseminarea politicilor publice de prevenire şi contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competentă. CERT-RO analizează disfunctionalitătile procedurale şi tehnice la nivelul infrastructurilor cibernetice.
CERT-RO este condus de un director general şi de un director general adjunct, sprijiniţi de Comitetul de coordonare format din reprezentanţi ai:
a) Ministerului Comunicaţiilor şi Societăţii Informaţionale;
b) Ministerului Apărării Naţionale;
c) Ministerului Administraţiei şi Internelor;
d) Serviciului Român de Informaţii;
e) Serviciului de Informaţii Externe;
f) Serviciului de Telecomunicaţii Speciale;
g) Serviciului de Protecţie şi Pază;
h) Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
i) Autoritătii Naţionale pentru Administrare şi Reglementare în Comunicaţii.
În luna decembrie 2012, CERT-RO anunţa că, în noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii.ro. Au fost modificate nameserver-ele a 11 domenii larg utilizate, printre care: google.ro, yahoo.ro, hotmail.ro, paypal.ro, kaspersky.ro, acestea fiind redirectate către o pagină web încărcată de atacatori pe un server din Olanda.
„CERT-RO a fost la curent cu situaţia incidentului de securitate ce a afectat serverul de administrare domenii .ro al ICI-ROTLD pe toată durata acestuia. De asemenea CERT-RO a oferit ICI-ROTLD sprijinul necesar în identificarea cauzelor incidentului de securitate, în determinarea impactului precum şi în stabilirea măsurilor de securitate ce trebuiesc implementate pentru prevenirea unor astfel de incidente pe viitor. Întrucât sistemul informatic atacat aparţine ICI-ROTLD, publicarea oricăror date despre incidentului de securitate sus-amintit (cauze, măsuri luate, impact etc.) poate fi făcută doar de către instituţia ce administrează sistemul informatic al ROTLD”, spunea atunci Centrul de Răspuns la Incidente de Securitate Cibernetică.
Rocra – Octombrie Roşu, operaţiune de spionaj cibernetic internaţional
Kaspersky Lab a dat luni publicităţii un nou raport de cercetare care identifică o foarte discretă campanie de spionaj vizând ţinte din domeniile diplomatic, guvernamental şi ştiinţific din mai multe ţări. Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în ţări din Europa de Est, statele din zona fostei URSS, precum şi state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate şi în alte zone, precum Europa de Vest şi America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date şi documente secrete de la organizaţiile afectate, inclusiv informaţii de importanţă geopolitică, date de acces în reţelele securizate sau clasificate şi date din dispozitive mobile şi echipamente de reţea.
O echipă de experţi a Kaspersky Lab a lansat o investigaţie în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internaţional. Pe parcursul investigaţiei a fost descoperită şi analizată o amplă reţea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operaţiunea Octombrie Roşu, pe scurt „Rocra”, a avut o activitate susţinută încă din anul 2007 şi este în continuare activă în ianuarie 2013.
Principalele rezultate ale investigaţiei
Reţeaua avansată de spionaj cibernetic Octombrie Roşu: Atacatorii au fost activi cel puţin din 2007 până în prezent şi s-au concentrat pe agenţii diplomatice şi guvernamentale din diferite ţări, precum şi pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare şi companii comerciale şi din domeniul aerospaţial. Atacatorii din reţeaua Octombrie Roşu şi-au dezvoltat propria platformă de malware, identificată sub numele de „Rocra“, cu o arhitectură modulară proprie, constând în special în extensii maliţioase, module de furt de informaţii şi troieni.
Informaţia furată din reţelele infectate a fost deseori folosită pentru a obţine acces la sisteme adiţionale. De exemplu, parolele de acces şi numele de utilizatori furate au fost compilate într-o listă specială şi utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locaţii.
Pentru a controla reţeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite ţări, în principal în Germania şi Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă şi control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informaţia furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile „acid*”, în particular, par a se referi la software-ul clasificat „Acid Cryptofiler”, folosit de mai multe entităţi din Uniunea Europeană şi NATO.
Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip „spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul şi a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilităţi din Microsoft Word şi Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alţi dezvoltatori de malware şi mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiştilor tibetani, precum şi împotriva unor ţinte din sectoarele energetic şi militar din Asia. Singura modificare a fost adusă executabilului inserat în document: atacatorii l-au înlocuit cu cod propriu. Interesant de menţionat este că executabilul modifică în 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaşte caracterele chirilice pe respectivul sistem.
Victime şi organizaţii vizate
Experţii Kaspersky Lab au utilizat două metode de analiză a potenţialelor victime. În primul rând au fost folosite informaţiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice şi pentru a asigura o protecţie avansată sub formă de liste negre (blacklist) şi reguli euristice. KSN a detectat exploit-ul folosit de Rocra încă de la începutul anului 2011, ceea ce a permis experţilor Kaspersky Lab să caute detecţii similare care aveau legatură cu Rocra. În al doilea rând, echipa de investigatori a pus la punct un server de tip „sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci când acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit două metode independente de corelare şi confirmare a rezultatelor.
Statisticile KSN: câteva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precădere din ambasade, organizaţii şi reţele guvernamentale, consulate şi institute de cercetare. Conform datelor KSN, majoritatea infecţiilor au fost identificate în primul rând în Europa de Est, dar au fost identificate şi în America de Nord şi în ţări din Europa de Vest, cum sunt Elveţia şi Luxemburg.
Statisticile Sinkhole: Analiza sinkhole realizată de Kaspersky Lab a avut loc între 2 noiembrie 2012 – 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de ţări. Majoritatea adreselor IP infectate au fost identificate în Elveţia, urmată de Kazahstan şi Grecia.
Rocra: arhitectură şi funcţionalităţi unice
Atacatorii au creat o platformă de atac multifuncţională, care include mai multe extensii şi fişiere maliţioase dezvoltate pentru a se adapta rapid la configuraţii diferite şi pentru a colecta informaţii din echipamentele infectate. Platforma Rocra este unică şi nu a fost identificată de către Kaspersky Lab în nici una dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:
Modulul de „Resuscitare”: Un modul unic, care permite atacatorilor să „resusciteze” maşinile infectate. Modulul este inserat ca un plug-in în Adobe Reader sau Microsoft Office şi pune la dispoziţia atacatorilor o cale sigură de a recăpăta acces la un sistem-ţintă, chiar dacă principalele module malware sunt descoperite şi înlăturate sau dacă sistemul este actualizat. Odată ce serverele C2 sunt operaţionale din nou, atacatorii pot trimite un document (PDF sau Office) prin email şi pot reactiva malware-ul.
Module de spionaj criptografic: Principalul scop al acestor module este furtul de informaţie criptată. Fişierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi Acid Cryptofiler, cunoscut ca fiind utilizat de organizaţii din NATO, Uniunea Europeană, Parlamentul European şi Comisia Europeană cu începere din vara lui 2011, pentru protecţia informaţiilor secrete.
Dispozitive mobile: Pe lângă atacarea computerelor tradiţionale, malware-ul este capabil să fure informaţii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia şi Windows Mobile). Malware-ul este, de asemenea, capabil să fure informaţii de configurare de la echipamentele din reţea, cum ar fi routere şi switch-uri şi poate recupera fişiere şterse de pe dispozitivele USB.
Potrivit Kaspersky, după analizarea „datelor de înregistrare a serverelor C2, precum şi mai multor artifacte rămase în executabilele malware-ului, există dovezi tehnice temeinice că atacatorii sunt de origine dintr-o zonă rusofonă. În plus, executabilele folosite de atacatori au fost complet necunoscute până de curând şi nu au fost indentificate de experţii Kaspersky Lab în cursul analizelor nici unuia dintre precedentele atacuri de spionaj cibernetic”. Kaspersky Lab, în colaborare cu organizaţiile internaţionale, autorităţile şi echipele CERT (Computer Emergency Response Teams), vor continua investigaţiile asupra Rocra, punând la dispoziţie expertiza tehnică şi resursele pentru procedurile de remediere şi reducere a riscurilor. Rocra este un malware detectat, blocat şi remediat cu succes de către produsele Kaspersky Lab şi este clasificat ca Backdoor.Win32.Sputnik.
România, pe listă
Kaspersky Lab a anunţat că doreşte să mulţumească US-CERT, CERT România (CERT-RO) şi CERT Belarus pentru ajutorul acordat în timpul investigaţiei.
Şi România a intrat pe această listă. „Sunt patru IP-uri în România. Investigaţia este încă în desfăşurare. În momentul în care am identificat aceste patru victime, am luat toate măsurile necesare pentru reducerea efectelor atacurilor”, spune Dan Tofan, director tehnic la Centrul de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), citat de TVRInfo.ro.
Este vorba despre agenţii guvernamentale şi ambasade acreditate din Bucureşti. În afara anchetei Centrului de Răspuns la Incidente de Securitate Cibernetică, instituţiile vizate derulează propriile investigaţii.
Ce este CERT-RO – Centrul de Răspuns la Incidente de Securitate Cibernetică
CERT-RO – Centrul de Răspuns la Incidente de Securitate Cibernetică (Romanian Computer Emergecy Response Team) asigura elaborarea şi diseminarea politicilor publice de prevenire şi contracarare a incidentelor din cadrul infrastructurilor cibernetice, potrivit ariei de competentă. CERT-RO analizează disfunctionalitătile procedurale şi tehnice la nivelul infrastructurilor cibernetice.
CERT-RO este condus de un director general şi de un director general adjunct, sprijiniţi de Comitetul de coordonare format din reprezentanţi ai:
a) Ministerului Comunicaţiilor şi Societăţii Informaţionale;
b) Ministerului Apărării Naţionale;
c) Ministerului Administraţiei şi Internelor;
d) Serviciului Român de Informaţii;
e) Serviciului de Informaţii Externe;
f) Serviciului de Telecomunicaţii Speciale;
g) Serviciului de Protecţie şi Pază;
h) Oficiului Registrului Naţional al Informaţiilor Secrete de Stat;
i) Autoritătii Naţionale pentru Administrare şi Reglementare în Comunicaţii.
În luna decembrie 2012, CERT-RO anunţa că, în noaptea de 27/28 noiembrie 2012 a avut loc un atac asupra server-ului de Administrare Domenii.ro. Au fost modificate nameserver-ele a 11 domenii larg utilizate, printre care: google.ro, yahoo.ro, hotmail.ro, paypal.ro, kaspersky.ro, acestea fiind redirectate către o pagină web încărcată de atacatori pe un server din Olanda.
„CERT-RO a fost la curent cu situaţia incidentului de securitate ce a afectat serverul de administrare domenii .ro al ICI-ROTLD pe toată durata acestuia. De asemenea CERT-RO a oferit ICI-ROTLD sprijinul necesar în identificarea cauzelor incidentului de securitate, în determinarea impactului precum şi în stabilirea măsurilor de securitate ce trebuiesc implementate pentru prevenirea unor astfel de incidente pe viitor. Întrucât sistemul informatic atacat aparţine ICI-ROTLD, publicarea oricăror date despre incidentului de securitate sus-amintit (cauze, măsuri luate, impact etc.) poate fi făcută doar de către instituţia ce administrează sistemul informatic al ROTLD”, spunea atunci Centrul de Răspuns la Incidente de Securitate Cibernetică.
Rocra – Octombrie Roşu, operaţiune de spionaj cibernetic internaţional
Kaspersky Lab a dat luni publicităţii un nou raport de cercetare care identifică o foarte discretă campanie de spionaj vizând ţinte din domeniile diplomatic, guvernamental şi ştiinţific din mai multe ţări. Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în ţări din Europa de Est, statele din zona fostei URSS, precum şi state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate şi în alte zone, precum Europa de Vest şi America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date şi documente secrete de la organizaţiile afectate, inclusiv informaţii de importanţă geopolitică, date de acces în reţelele securizate sau clasificate şi date din dispozitive mobile şi echipamente de reţea.
O echipă de experţi a Kaspersky Lab a lansat o investigaţie în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internaţional. Pe parcursul investigaţiei a fost descoperită şi analizată o amplă reţea de spionaj cibernetic. Conform raportului de analiză al Kaspersky Lab, Operaţiunea Octombrie Roşu, pe scurt „Rocra”, a avut o activitate susţinută încă din anul 2007 şi este în continuare activă în ianuarie 2013.
Principalele rezultate ale investigaţiei
Reţeaua avansată de spionaj cibernetic Octombrie Roşu: Atacatorii au fost activi cel puţin din 2007 până în prezent şi s-au concentrat pe agenţii diplomatice şi guvernamentale din diferite ţări, precum şi pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare şi companii comerciale şi din domeniul aerospaţial. Atacatorii din reţeaua Octombrie Roşu şi-au dezvoltat propria platformă de malware, identificată sub numele de „Rocra“, cu o arhitectură modulară proprie, constând în special în extensii maliţioase, module de furt de informaţii şi troieni.
Informaţia furată din reţelele infectate a fost deseori folosită pentru a obţine acces la sisteme adiţionale. De exemplu, parolele de acces şi numele de utilizatori furate au fost compilate într-o listă specială şi utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locaţii.
Pentru a controla reţeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite ţări, în principal în Germania şi Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă şi control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.
Informaţia furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile „acid*”, în particular, par a se referi la software-ul clasificat „Acid Cryptofiler”, folosit de mai multe entităţi din Uniunea Europeană şi NATO.
Infectarea victimelor
Pentru infectarea sistemelor atactorii au folosit mesaje email de tip „spear-phishing”, care includeau un program special conceput de livrare a unui troian. Pentru a putea instala malware-ul şi a infecta sistemul, mesajul includea, de asemenea, exploit-uri ale unor vulnerabilităţi din Microsoft Word şi Microsoft Excel. Respectivele exploit-uri au fost identificate ca fiind create de alţi dezvoltatori de malware şi mai fuseseră folosite în timpul atacurilor cibernetice împotriva activiştilor tibetani, precum şi împotriva unor ţinte din sectoarele energetic şi militar din Asia. Singura modificare a fost adusă executabilului inserat în document: atacatorii l-au înlocuit cu cod propriu. Interesant de menţionat este că executabilul modifică în 1251 codepage-ul sistemului infectat, un pas necesar pentru a putea recunoaşte caracterele chirilice pe respectivul sistem.
Victime şi organizaţii vizate
Experţii Kaspersky Lab au utilizat două metode de analiză a potenţialelor victime. În primul rând au fost folosite informaţiile din statisticile Kaspersky Security Network (KSN), serviciul de securitate Kaspersky bazat pe cloud, utilizat de produsele Kaspersky Lab pentru a raporta date telemetrice şi pentru a asigura o protecţie avansată sub formă de liste negre (blacklist) şi reguli euristice. KSN a detectat exploit-ul folosit de Rocra încă de la începutul anului 2011, ceea ce a permis experţilor Kaspersky Lab să caute detecţii similare care aveau legatură cu Rocra. În al doilea rând, echipa de investigatori a pus la punct un server de tip „sinkhole”, cu rolul de a monitoriza activitatea computerelor infectate, atunci când acestea se conectau la serverele C2 ale Rocra. Datele acumulate pe parcursul acestei analize, prin ambele metode, au oferit două metode independente de corelare şi confirmare a rezultatelor.
Statisticile KSN: câteva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precădere din ambasade, organizaţii şi reţele guvernamentale, consulate şi institute de cercetare. Conform datelor KSN, majoritatea infecţiilor au fost identificate în primul rând în Europa de Est, dar au fost identificate şi în America de Nord şi în ţări din Europa de Vest, cum sunt Elveţia şi Luxemburg.
Statisticile Sinkhole: Analiza sinkhole realizată de Kaspersky Lab a avut loc între 2 noiembrie 2012 – 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de ţări. Majoritatea adreselor IP infectate au fost identificate în Elveţia, urmată de Kazahstan şi Grecia.
Rocra: arhitectură şi funcţionalităţi unice
Atacatorii au creat o platformă de atac multifuncţională, care include mai multe extensii şi fişiere maliţioase dezvoltate pentru a se adapta rapid la configuraţii diferite şi pentru a colecta informaţii din echipamentele infectate. Platforma Rocra este unică şi nu a fost identificată de către Kaspersky Lab în nici una dintre campaniile de spionaj cibernetic precedente. Printre caracterstici, cele mai interesante sunt:
Modulul de „Resuscitare”: Un modul unic, care permite atacatorilor să „resusciteze” maşinile infectate. Modulul este inserat ca un plug-in în Adobe Reader sau Microsoft Office şi pune la dispoziţia atacatorilor o cale sigură de a recăpăta acces la un sistem-ţintă, chiar dacă principalele module malware sunt descoperite şi înlăturate sau dacă sistemul este actualizat. Odată ce serverele C2 sunt operaţionale din nou, atacatorii pot trimite un document (PDF sau Office) prin email şi pot reactiva malware-ul.
Module de spionaj criptografic: Principalul scop al acestor module este furtul de informaţie criptată. Fişierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi Acid Cryptofiler, cunoscut ca fiind utilizat de organizaţii din NATO, Uniunea Europeană, Parlamentul European şi Comisia Europeană cu începere din vara lui 2011, pentru protecţia informaţiilor secrete.
Dispozitive mobile: Pe lângă atacarea computerelor tradiţionale, malware-ul este capabil să fure informaţii din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia şi Windows Mobile). Malware-ul este, de asemenea, capabil să fure informaţii de configurare de la echipamentele din reţea, cum ar fi routere şi switch-uri şi poate recupera fişiere şterse de pe dispozitivele USB.
LINK
This news item is from Proiect SEMPER FIDELIS
( http://semperfidelis.ro/news.php?extend.2136 )