24.1.13

Lov na Crveni oktobar

Trebalo je tek desetak dana u 2013. godini kako bi informatički svijet obišla vijest o novom slučaju ciljanoga cyber napada. Kaspersky Lab je sredinom siječnja objavio rezultate više-mjesečne istrage napada usmjerene prema, uglavnom, državnim institucijama u zemljama bivšeg istočnog bloka ali i prema nekim zapadne Europe i drugih kontinenata. Red October - kako je nazvana ova cybercrime kampanja - započinjao je ciljanim napadima na birani krug korisnika informacijskih sustava žrtava, a potom je koristeći prisutne računalne ranjivosti na njihovim računalima izgradio složenu i izuzetno učinkovitu malicioznu aplikativnu infrastrukturu.

Kasperski Lab prati ovaj slučaj od listopada prošle godine. Utvrđeno je da, kada se jednom naseli na računala žrtava, Red October uspostavlja komunikacijsku vezu s Comand&Control centrima, te im dostavlja podatke od posebnog interesa otkrivene u mreži žrtava. Ova komunikacijska veza je uspostavljena putem nekoliko razina proxy servera smještenih u Njemačkoj i Rusiji, no krajnje destinacije su smještene u drugim državama.

Već površan pogled na Red October, podsjeća nad na slučajeve Stuxnet, Flame ili još ranije Aurora, a radi o sličnostima u modelu djelovanja ali ne i o podudarnostima ili dijeljenju programskog koda. Trenutno nema indikacija o porijeklu Red Octobera, a ne može se tvrditi niti da iza ovog programa stoje pokretači ranijih ciljanih napada.

Za razliku od Stuxneta i Flamea, Red Octobar  ne korisiti privilegiju upućenosti u inače nepozanati bug u Windowima, niti mu je za instalaciju potreban ukradeni digitalni certifikat. Žrtva je navučenana jednostavnim socijalnim inženjeringom - npr. nesmotreno otvara privitak koji sadrži maliciozno iskrojeni Word ili Excel dokument (iako to nije i jedini scenarij, npr. iskorištava se i Java ranjivost). Zanimljivo da je Red October koristi različite sigurnosne rupe za inicijalnu intoksikaciju, a scenariji se mijenjaju, birajući uvijek nove i relativno raširene manjkavosti.

Značajna inovacija ovog programa je i raznolikost programskih modula i funkcija koje se izvode na računalima žrtava - od bilježenja rada tipkovnice, preko krađe lozinki do krađe dokumenata i izvođenja drugih sofisticiranih modula. Sustav upravljanja iz središnjeg centra daje precizan nalog malicioznom programu, a rezultati se iskorištavaju za razvoj daljnjih scenarija.

Ukratko, može se reći da su Stuxnet i Flame bili inventivniji u mehanizmu inicijalnog pokretanja, no Red October ima raznolikije opcije za učinkovito djelovanje kada jednom osvoji žrtvu.

Njihovo zajedničko svojstvo je polagana propagacija, bez "pohlepnosti", pa su antivirusni programi propustili pet godina prepoznati djelovanje Red Octobera. 

Tipične žrtve crvenog oktobra bile su diplomatske misije, vladine ustanove, istraživački centri, institucije u naftnom ili nuklearnom poslovanju, vojni ciljevi... Kasperski Lab je detektirao, ali ne i identificirao, i šest žrtava iz Hrvatske. Veliko je pitanje jesu li ove organizacije uopće svjesne toga.


Nema komentara: