Trebalo
je tek desetak dana u 2013. godini kako bi informatički svijet obišla
vijest o novom slučaju ciljanoga cyber napada. Kaspersky Lab je sredinom
siječnja objavio rezultate više-mjesečne istrage napada usmjerene
prema, uglavnom, državnim institucijama u zemljama bivšeg istočnog bloka
ali i prema nekim zapadne Europe i drugih kontinenata. Red October -
kako je nazvana ova cybercrime kampanja - započinjao je ciljanim napadima na
birani krug korisnika informacijskih sustava žrtava, a potom je
koristeći prisutne računalne ranjivosti na njihovim računalima izgradio
složenu i izuzetno učinkovitu malicioznu aplikativnu infrastrukturu.
Kasperski
Lab prati ovaj slučaj od listopada prošle godine. Utvrđeno je da, kada
se jednom naseli na računala žrtava, Red October uspostavlja
komunikacijsku vezu s Comand&Control centrima, te im dostavlja
podatke od posebnog interesa otkrivene u mreži žrtava. Ova
komunikacijska veza je uspostavljena putem nekoliko razina proxy servera
smještenih u Njemačkoj i Rusiji, no krajnje destinacije su smještene u drugim
državama.
Već
površan pogled na Red October, podsjeća nad na slučajeve Stuxnet, Flame ili još ranije Aurora, a radi o
sličnostima u modelu djelovanja ali ne i o podudarnostima ili dijeljenju
programskog koda. Trenutno nema indikacija o porijeklu Red Octobera, a ne može se tvrditi niti da iza ovog programa stoje pokretači ranijih ciljanih napada.
Za
razliku od Stuxneta i Flamea, Red Octobar ne korisiti privilegiju
upućenosti u inače nepozanati bug u Windowima, niti mu je za instalaciju potreban ukradeni digitalni certifikat. Žrtva je navučenana jednostavnim socijalnim inženjeringom - npr. nesmotreno otvara privitak koji sadrži maliciozno iskrojeni Word ili Excel dokument (iako to nije i jedini scenarij, npr. iskorištava se i Java ranjivost). Zanimljivo da je Red October koristi različite sigurnosne rupe za inicijalnu intoksikaciju, a scenariji se mijenjaju, birajući uvijek nove i relativno raširene manjkavosti.
Značajna inovacija ovog programa je i raznolikost programskih modula i funkcija koje se izvode na računalima žrtava - od bilježenja rada tipkovnice, preko krađe lozinki do krađe dokumenata i izvođenja drugih sofisticiranih modula. Sustav upravljanja iz središnjeg centra daje precizan nalog malicioznom programu, a rezultati se iskorištavaju za razvoj daljnjih scenarija.
Ukratko, može se reći da su Stuxnet i Flame bili inventivniji u mehanizmu inicijalnog pokretanja, no Red October ima raznolikije opcije za učinkovito djelovanje kada jednom osvoji žrtvu.
Njihovo zajedničko svojstvo je polagana propagacija, bez "pohlepnosti", pa su antivirusni programi propustili pet godina prepoznati djelovanje Red Octobera.
Tipične žrtve crvenog oktobra bile su diplomatske misije, vladine ustanove, istraživački centri, institucije u naftnom ili nuklearnom poslovanju, vojni ciljevi... Kasperski Lab je detektirao, ali ne i identificirao, i šest žrtava iz Hrvatske. Veliko je pitanje jesu li ove organizacije uopće svjesne toga.
Nema komentara:
Objavi komentar