Websense, cyber-spionaggio: "caccia a ottobre rosso"

redazione

Caccia a Ottobre Rosso: i Security Labs di Websense spiegano il meccanismo dell’attacco 23 gennaio 2013 “Ottobre Rosso” nel titolo del romanzo di Tom Clancy si riferisce al sottomarino sovietico che grazie al sistema a propulsione silenziosa è invisibile ai sonar. E’ il nome più adatto per la sofisticata rete di cyber-spionaggio che è stata recentemente identificata dopo aver raccolto dati di alto livello da Governi, ambasciate e reti diplomatiche, aziende energetiche e altri sistemi sensibili negli ultimi cinque anni. Ottobre Rosso è iniziato come una serie di attacchi spear phishing con email altamente personalizzate per target specifici. Le email di spear phishing contenevano allegati malevoli sottoforma di file Microsoft Office. Una volta che i file Office venivano aperti dagli utenti, un eseguibile malevolo veniva scaricato nel PC della vittima e si apriva un altro file Office embedded solo per dare all’utente inconsapevole la falsa impressione di non aver aperto un allegato malevolo. Inoltre, Java è stato individuato come un vettore di attacco usato nelle campagne spear phishing. Per usare Java, i cyber criminali alle spalle di Ottobre Rosso inviavano un’email spear phish con un link malevolo che sarebbe stato aperto dalla vittima e avrebbe caricato un applet Java nocivo per infettare la macchina.Di seguito cosa accade con un’email: • L’utente ignaro riceve un’email con un file Office allegato e lo apre• L’exploit si installa e lancia due file: uno vuoto di Word o Excel file e un .EXE malevolo • Word o Excel poi si bloccano e si chiudono mentre il .EXE malevolo viene lanciato insieme al documento vuoto, in questo modo l’utente non si accorge di nulla come mostrato in questi esempi:    Tutti gli IP C&C conosciuti e i domini associati con l’attacco Ottobre Rosso sono classificati come “Bot Networks”. ThreatScope aiuta a proteggere i clienti Websense, identificando come malevoli tutti i file embedded, come è mostrato nei seguenti report: ThreatScope Report on Dropped File 1ThreatScope Report on Dropped File 2ThreatScope Report on Dropped File 3 I seguenti CVE sono indicati dal momento che sono stati usati come parte degli attacchi di spear phishing Ottobre Rosso:CVE-2009-3129 ExcelCVE-2010-3333 WordCVE-2012-0158 WordCVE-2011-3544 Java Questo, come molti altri attacchi mirati, trae vantaggio dagli interessi delle vittime. L’aspetto di social engineering degli attacchi mirati è quello che ne garantisce il successo, quindi è importante fare molta attenzione quando si apre un’email con allegati o link, specialmente se sono email non richieste. I clienti Websense sono protetti da Websense ACE (Advanced Classification Engine) e continueremo a monitorare questa e altre minacce alla sicurezza.