Η Kaspersky δημοσίευσε σήμερα εκτενή έκθεση στην οποία καταγράφει λεπτομερώς για μια εξελιγμένη εκστρατεία κατασκοπείας από ένα κακόβουλο λογισμικό που τρέχει από τον Μάιο του 2007. Η κατασκοπευτική επιχείρηση στοχοποιεί “αρκετές εκατοντάδες” κυβερνήσεις και των διπλωματικούς οργανισμούς, κυρίως στην Ανατολική Ευρώπη (κυρίως τις πρώην Δημοκρατίες της ΕΣΣΔ) και την Κεντρική Ασία, αλλά και στη Δυτική Ευρώπη και τη Βόρεια Αμερική.
Μεταξύ των θυμάτων ήταν πρεσβείες, προξενεία, εμπορικά κέντρα, κέντρα πυρηνικών ερευνών, καθώς και οργανισμοί πετρελαίου και το φυσικού αερίου. Η συντριπτική πλειονότητα των μολυσμένων υπολογιστών θυμάτων του κακόβουλου λογισμικού βρέθηκαν στη Ρωσία (η Kaspersky εντόπισε 35), με 21 περιπτώσεις ακολουθεί το Καζακστάν, με 15 το Αζερμπαϊτζάν, με 15 το Βέλγιο και 14 στην Ινδία. Έξι μολυσμένα μηχανήματα βρέθηκαν στις ΗΠΑ.
“Κατά τη διάρκεια της έρευνάς μας έχουμε ανακαλύψει πάνω από 1000 μοναδικά αρχεία, που ανήκουν σε περίπου 30 διαφορετικές κατηγορίες modules,” αναφέρει η έκθεση της Kaspersky. “Οι επιτιθέμενοι κατάφεραν να μείνουν στο παιχνίδι για πάνω από πέντε χρόνια χωρίς να τους καταλάβει κανείς αφού κατάφερναν να αποφύγουν την ανίχνευση των περισσότερων προϊόντων antivirus, ενώ τα αρχεία που έχουν πάρει θα πρέπει να είναι εκατοντάδες terabytes μέχρι τώρα.”
Το κακόβουλο λογισμικό που χρησιμοποιούσαν οι επιτιθέμενοι είναι εξαιρετικά ευέλικτο και προσαρμοσμένο για κάθε θύμα. Το θύμα είχε έναν μοναδικό αναγνωριστικό,ούτως ώστε να λαμβάνει ένα διαφορετικό module προσαρμοσμένο μόνο σε αυτόν. Το κάθε module έχει σχεδιαστεί για να εκτελεί διάφορες εργασίες, αλλά ο τελικός στόχος του ήταν να κλέψει μια ποικιλία αρχείων, συμπεριλαμβανομένων των αρχείων PDF, υπολογιστικά φύλλα του Excel, αρχεία CSV, καθώς και ACID files. Τα τελευταία αρχεία φαίνεται να είναι το κλειδί: οι επιτιθέμενοι με το κακόβουλο λογισμικό προσπαθούσαν να κλέψουν αρχεία κρυπτογραφημένα με Acid Cryptofiler, ένα πρόγραμμα κρυπτογράφησης που αναπτύχθηκε από το γαλλικό στρατό και τώρα χρησιμοποιείται από πολλές χώρες της Ευρωπαϊκής Ένωσης και του ΝΑΤΟ για την κρυπτογράφηση των διαβαθμισμένων πληροφοριών.
Το κακόβουλο λογισμικό δεν κλέβει μόνο αρχεία (συμπεριλαμβανομένων και εκείνων που έχουν ήδη διαγραφεί), αλλά και αρπάζει emails, αρχεία κωδικών πρόσβασης αντογράφει κάθε τι που πληκτρολογεί το θύμα, παίρνει screenshots, και κλέβει το ιστορικό περιήγησης από το Chrome, το Firefox, τον Internet Explorer, τον Opera κλπ. Ο κύριος στόχος είναι να συγκεντρώσει όσα ευαίσθητα έγγραφα, όπως είναι δυνατόν, και κάνει τα πάντα για να το καταφέρει. Στην πραγματικότητα, τα κακόβουλα modules μεταμφιέζονται σαν plugins του Microsoft Office και του Adobe Reader και βοηθούν τους επιτιθέμενους να ξαναμολύνουν εκ νέου έναν υπολογιστή όταν η πρώτη απειλή ανιχνευτεί και απομακρυνθεί από κάποιο antivirus scanner.
Η απειλή αρπάζει επίσης επαφές, ιστορικό κλήσεων, ημερολόγια, μηνύματα κειμένου και το ιστορικό περιήγησης από smartphones, όπως το iPhone, Android mobiles καθώς και από Windows Mobile συσκευές (ειδικά των κατασκευαστών Nokia, Sony Ericsson, και HTC).
Η Kaspersky δήλωσε, όπως αναφέρει το TNW, ότι οι επιτιθέμενοι χρησιμοποιούν πάνω από 60 domains και αρκετούς servers (κυρίως από τη Γερμανία, τη Ρωσία και την Αυστρία) για τη διαχείριση του δικτύου των μολυσμένων υπολογιστών. Ωστόσο, οι servers κέντρο εντολών και ελέγχου (C & C) βρίσκονται πίσω από μια αλυσίδα με τρία επίπεδα proxy για να κρύψουν τη θέση του “μητρικού” κακόβουλου υπολογιστή και να αποτρέψουν στους ερευνητές την ανεύρεση του τελικού σημείου συλλογής, όπου βρίσκονται όλα τα κλεμμένα έγγραφα, πληκτρολογήσεις , screenshots και υποβάλλονται σε επεξεργασία:
Η εταιρεία ασφαλείας ανέφερε ότι πιστεύει ότι οι δράστες είναι Ρώσοι αλλά ότι υπάρχει και πιθανότητα η όλη επιχείρηση να υποστηρίζεται από ένα κράτος.
Οι ερευνητές ανακάλυψαν αρκετές ρωσικές λέξεις ενσωματωμένες στον κώδικα του κακόβουλου λογισμικού. Για παράδειγμα, η λέξη “zakladka”, η οποία μπορεί να σημαίνει «σελιδοδείκτης» στα ρωσικά (και στα πολωνικά), αλλά μπορεί επίσης να είναι ένας ρώσικος όρος που σημαίνει στην αργκό “αδήλωτη λειτουργικότητα” ή ένα “μικρόφωνο που είναι ενσωματωμένο σε ένα τούβλο του κτιρίου της πρεσβείας,” εμφανίζεται πολλές φορές. Η λέξη “proga,” ένας άλλος όρος κοινή Ρώσικη λέξη που σημαίνει ότι το πρόγραμμα ή εφαρμογή χρησιμοποιήθηκε συχνά.
Η εταιρεία ονόμασε τη νέα κακόβουλη εκστρατεία “Operation Red October” από το ρωσικό υποβρύχιο που εμφανίζεται στο μυθιστόρημα του Tom Clancy.
