Spionaggio informatico: Kaspersky individua "Ottobre Rosso"

redazione

Oggi Kaspersky Lab ha pubblicato una ricerca relativa ad una campagna di spionaggio informatico, i cui obiettivi sono stati per almeno cinque anni i governi e le organizzazioni di ricerca scientifica localizzati in diversi paesi. Questa campagna ha preso di mira in particolar modo alcuni paesi quali quelli appartenenti all’ex URSS e i paesi dell’Asia Centrale, anche se vittime sono state localizzate anche in Europa Occidentale e nel Nord America. L’obiettivo degli aggressori era quello di raccogliere documenti sensibili utilizzati nelle organizzazioni, tra cui informazioni di intelligence geopolitica, le credenziali per accedere ai sistemi informatici e dati presenti sui dispositivi personali mobile e su strumenti di rete.

Ad ottobre 2012 il team di esperti di Kaspersky Lab  ha avviato un’inchiesta a seguito di una serie di attacchi effettuati contro le reti informatiche delle agenzie internazionali di servizi diplomatici. Durante l’indagine sono emerse attività di spionaggio informatico su larga scala. Secondo il rapporto di analisi di Kaspersky Lab, l’Operazione Ottobre Rosso, chiamata “Rocra”, ancora attiva a gennaio 2013, è una campagna che resiste dal 2007.

Principali risultati della ricerca

Ottobre Rosso, rete di spionaggio informatico avanzato: Gli aggressori sono attivi almeno dal 2007 e si sono concentrati soprattutto sulle agenzie diplomatiche e governative di diversi paesi oltre ad istituti di ricerca, società operanti nel settore dell’energia e del nucleare, obiettivi commerciali e aerospaziali. Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche “Rocra”, con un’unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan.

Gli aggressori utilizzano poi le informazioni sottratte per entrare nei sistemi. Per esempio, le credenziali rubate sono state riportate in un elenco e utilizzate dai criminali per individuare le password per accedere ai sistemi.

Per controllare la rete di computer infetti, gli aggressori hanno creato più di 60 domini e punti di hosting  in diversi paesi, la maggior parte in Germania e Russia. Le analisi di Kaspersky Lab sulle infrastrutture di comando & controllo (C2) di Rocra dimostrano che la catena di server proxie è servita per nascondere la posizione del server di controllo della “macchina madre”.

Le informazioni rubate dai sistemi infetti comprendono documenti con estensione: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l’estensione “acid*” fa riferimento al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti come l’Unione Europea  e la NATO.

Vittime infettate
Per infettare i sistemi gli aggressori inviano un’e-mail di spear-phishing ad una vittima, con incluso anche un Trojan dropper personalizzato.  Per installare il malware e infettare i sistemi, le e-mail nocive integrano exploit progettati per colpire le vulnerabilità presenti in Microsoft Office e Microsoft Excel. Gli exploit presenti nei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri criminali e impiegati durante attacchi informatici diversi, tra cui quelli portati avanti dagli  attivisti tibetani o quelli che hanno colpito obiettivi militari ed energetici in Asia. L’unica cosa che è stata cambiata nei documenti utilizzati da Rocra era il file eseguibile integrato, che i criminali hanno sostituito con il proprio codice nocivo. In particolare, uno dei comandi nel Trojan dropper forzava il sistema operativo ad usare il codepage 1251, codepage necessario per manipolare e visualizzare stringhe contenenti caratteri dell’alfabeto cirillico.

Vittime e organizzazioni colpite
Gli esperti di Kaspersky Lab utilizzano due metodi per analizzare le vittime colpite. Il primo usa le statistiche di rilevamento grazie al Kaspersky Security Network (KSN),  il servizio di sicurezza basato su cloud impiegato dai prodotti Kaspersky Lab per segnalare la telemetria e offrire una protezione avanzata contro le minacce che si presentano sotto forma di blacklist e regole euristiche. Il compito del KSN è quello di rilevare il codice exploit utilizzato dal malware già nel 2011; questo ha consentito agli esperti di Kaspersky Lab di svolgere rilevazioni analoghe inerenti a Rocra. Il secondo metodo utilizzato dal team di ricercatori di Kasperksy Lab è stata la creazione di un server sinkhole in grado di monitorare i computer infetti  che si connettono ai server C2 di Rocra. I dati raccolti durante l’analisi con entrambi i metodi ha fornito due strade indipendenti che confermano le loro scoperte.
• Statistiche KSN:
Diverse centinaia di sistemi unici infetti sono stati rilevati da KSN, gli obiettivi colpiti erano per lo più ambasciate, reti governative e organizzazioni, istituti di ricerca scientifica e consolati. Secondo i dati KSN, la maggior parte delle infezioni identificate erano localizzate soprattutto nell’Europa orientale, mentre altre sono state rilevate in Nord America e nei paesi dell’Europa occidentale, come la Svizzera e il Lussemburgo.
• Statistiche Sinkhole:
L’analisi sinkhole di Kaspersky Lab si è svolta dal 2 novembre 2012 al 10 gennaio 2013. Durante questo periodo più di 55.000 connessioni da 250 indirizzi IP infetti sono stati registrati in 39 paesi. La maggior parte delle connessioni IP infette provenivano dalla Svizzera, seguita dal  Kazakhstan e la Grecia.

Rocra malware: architettura e funzionalità uniche
I criminali hanno creato una piattaforma di attacco multifunzionale, che include diverse estensioni e file nocivi progettati per adattarsi rapidamente alle configurazioni dei diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è stata creata appositamente per Rocra, non è stato identificato da Kaspersky Lab in precedenti campagne di spionaggio informatico. Le caratteristiche:
• Modulo“Resurrezione”: Un modulo unico che permette agli aggressori di "resuscitare" le macchine infette. Il modulo è incorporato come plug-in all’interno di Adobe Reader e nelle installazioni di Microsoft Office e fornisce ai criminali un metodo infallibile per ottenere nuovamente l’accesso ad un sistema nel caso in cui il malware principale venga scoperto e rimosso o se il sistema è dotato di patch. Una volta che i server C2 sono nuovamente operativi, i criminali possono inviare un file specifico (PDF o un documento Office) tramite e-mail alle macchine delle vittime e in questo modo il malware si attiverà di nuovo.
• Moduli spia criptati avanzati: Lo scopo principale dei moduli per lo spionaggio è quello di rubare le informazioni. Ciò include file che provengono da sistemi crittografici differenti, come Acid Cryptofiler, noto per essere utilizzato in organizzazioni come NATO, Unione Europea, Parlamento Europeo e Commissione Europea a partire dall’estate del 2011 e impiegato per proteggere le informazioni sensibili.
• Dispositivi mobile:
Oltre a colpire le postazioni di lavoro tradizionali, il malware è in grado di rubare dati dai dispositivi mobile, come gli smartphone (iPhone, Nokia e Windows Mobile). Il malware è anche in grado di rubare le informazioni di configurazione dei dispositivi di rete aziendale, come router e switch, così come i file cancellati dalle unità disco rimovibili.

Identificazione del criminale informatico:
Sulla base dei dati di registrazione dei server C2 e delle numerose tracce nei file eseguibili del malware, si evidenzia una grande percentuale di criminali di origine russa. Inoltre, i file eseguibili utilizzati dagli aggressori fino a poco tempo fa erano sconosciuti e non erano mai stati identificati dagli esperti di Kaspersky Lab durante l’analisi degli attacchi precedenti di spionaggio informatico.

Kaspersky Lab, in collaborazione con le organizzazioni internazionali, le forze dell’ordine e il Computer Emergency Response Team (CERT) continua la sua indagine su Rocra, offrendo consulenza tecnica e le risorse adeguate per le procedure di ripristino.

Kaspersky Lab ringrazia: US-CERT, il CERT rumeno e il CERT bielorusso per la loro assistenza durante l’inchiesta.

Il malware Rocra è stato individuate e bloccato nei prodotti di Kaspersky Lab classificato come Backdoor.Win32.Sputnik.