Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

Door: Kaspersky Lab  14-01-2013
Trefwoorden: Spyware, Cybercrime, Internet Security

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur van organisaties  

Utrecht, 14 januari 2013 - Kaspersky Lab, publiceert vandaag een nieuw onderzoeksrapport waarin het een cyberspionage-campagne identificeert, die  gedurende ten minste vijf jaar ongrijpbaar is gebleken, gericht op diplomatieke, overheids- en wetenschappelijke onderzoeksorganisaties uit verschillende landen. De primaire focus van deze campagne is gericht op landen in Oost-Europa, de voormalige Sovjet-republieken en landen in Centraal-Azië. Slachtoffers zijn echter overal te vinden, inclusief in West-Europa en Noord-Amerika. De belangrijkste doelstelling van de aanvallers was het verzamelen van gevoelige documenten van de getroffen organisaties. Hiertoe behoorden geopolitieke informatie en toegangsgegevens tot beveiligde computersystemen, persoonlijke mobiele apparaten en netwerkapparatuur.  

Experts van Kaspersky Lab startten in oktober 2012 een onderzoek naar aanleiding van een reeks aanvallen op computernetwerken, gericht op internationale diplomatieke diensten. Tijdens het onderzoek werd een grootschalig cyberspionagenetwerk blootgelegd en geanalyseerd. Volgens de onderzoeksanalyse van Kaspersky Lab is ‘Operatie Red October’ in januari 2013 nog altijd actief, en betreft het een langdurige campagne die terugvoert tot in 2007.  

Belangrijkste onderzoeksuitkomsten  
Red October's geavanceerde cyberspionagenetwerk: De aanvallers zijn minstens sinds 2007 actief en richtten zich op diplomatieke en overheidsinstanties, onderzoeksinstellingen, energie- en nucleaire groepen, handels- en ruimtevaartdoelen van verschillende landen over de hele wereld.  De Red October-aanvallers ontwierpen hun eigen malware, geïdentificeerd als "Rocra", met een eigen unieke modulaire architectuur bestaande uit kwaadaardige extensies, informatie stelende modules en backdoor Trojans.  

De aanvallers maakten vaak gebruik van uit besmette netwerken verkregen informatie als methode om toegang te krijgen tot aanvullende systemen. Zo werden gestolen identificatiegegevens gebundeld in een lijst en gebruikt wanneer de aanvallers wachtwoorden of zinnen moesten raden om toegang te krijgen tot additionele systemen.  

Om het netwerk van geïnfecteerde computers aan te sturen, creëerden de aanvallers meer dan 60 domeinnamen en diverse server hostlocaties in verschillende landen, waarvan het merendeel in Duitsland en Rusland. Kaspersky Lab's analyse van Rocra's Command & Control (C2)-infrastructuur toont aan dat de keten van servers in feite dienst deed als proxies, om de locatie van de control server van het 'moederschip' te verbergen.  

De informatie gestolen van geïnfecteerde systemen omvat documenten met extensies: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr en acidssa. De "acid*"-extensies in het bijzonder lijken te verwijzen naar de geheime "Acid Cryptofiler"-software die door verschillende instanties wordt gebruikt, van de Europese Unie tot de NAVO.  

Infecteren van slachtoffers
Om systemen te infecteren stuurden de aanvallers een doelgerichte spear-phishing e-mail naar hun slachtoffers, met daarin een aangepaste Trojan dropper. Om de malware te installeren en het systeem te infecteren, bevatte die schadelijke e-mail exploits die speciaal waren gemanipuleerd om beveiligingslekken in Microsoft Office en Microsoft Excel te benutten. De exploits van de in de spear-phishing e-mails gebruikte documenten werden door andere aanvallers gecreëerd en ingezet tijdens verschillende cyberaanvallen, onder andere tegen Tibetaanse activisten, alsmede tegen militaire en energiesector doelwitten in Azië. Het enige wat in het door Rocra gebruikte document werd veranderd was de ingebouwde executable, die door de aanvallers werd vervangen door een eigen code.  

Een van de opdrachten in de Trojaanse dropper verandert de codetabel van de opdrachtprompt-sessie naar 1251, wat nodig is om Cyrillische fonts te renderen.  

Beoogde slachtoffers & organisaties
De experts van Kaspersky Lab gebruikten twee methoden om de beoogde slachtoffers te analyseren. Ten eerste maakten ze gebruik van detectiestatistieken van het Kaspersky Security Network (KSN). Deze cloud-gebaseerde security service wordt gebruikt om telemetrie te rapporteren en geavanceerde bescherming te leveren tegen dreigingen in de vorm van blacklists en heuristische regels. KSN ontdekte de exploit code al in malware die in 2011 werd gebruikt. Dit stelde Kaspersky Lab-experts in staat om naar soortgelijke Rocra-gerelateerde detecties te zoeken. De tweede methode die door het onderzoeksteam werd gebruikt, was het creëren van een sinkhole server. Hiermee konden zij toezicht houden op geïnfecteerde machines die verbinding maakten met Rocra's C2-servers. De ontvangen data gedurende de analyse van beide methoden bood twee onafhankelijke manieren om hun bevindingen te correleren en te bevestigen.

·          KSN-statistieken: Enkele honderden unieke geïnfecteerde systemen werden gedetecteerd via de KSN-gegevens, met de nadruk op meerdere ambassades, overheidsnetwerken en -organisaties, wetenschappelijke onderzoeksinstituten en consulaten. Volgens de KSN-gegevens bevonden de meeste geïdentificeerde infecties zich in Oost-Europa, maar ook in Noord-Amerika en een aantal West-Europese landen zoals Zwitserland en Luxemburg.
·          Sinkhole statistieken: De sinkhole-analyse vond plaats van 2 november 2012 tot 10 januari 2013. Gedurende deze tijd werden meer dan 55.000 aansluitingen van 250 geïnfecteerde IP-adressen geregistreerd in 39 landen. De meeste geïnfecteerde IP-adressen werden geregistreerd in Zwitserland gevolgd door Kazachstan en Griekenland.  

Rocra malware: unieke architectuur en functionaliteit
De aanvallers creëerden een multifunctioneel aanvalsplatform met verschillende extensies en schadelijke bestanden, ontworpen om zich snel aan te passen aan de configuraties van verschillende systemen en inlichtingen te oogsten van geïnfecteerde machines. Het platform is uniek voor Rocra en werd door Kaspersky Lab niet eerder geïdentificeerd in voorgaande cyberspionage campagnes. Opmerkelijke kenmerken zijn onder andere:  
·          "Resurrection" module: Een unieke module die aanvallers in staat stelt om geïnfecteerde computers "te laten herrijzen". De module wordt ingebed als een plug-in in Adobe Reader en Microsoft Office-installaties en biedt aanvallers een waterdichte methode om zich opnieuw toegang te verschaffen tot een doelwit nadat de belangrijkste malware is ontdekt en verwijderd, of nadat het systeem is gepatcht. Zodra de C2's weer operationeel zijn, sturen de aanvallers via e-mail een gespecialiseerd documentbestand (PDF of Office-document) naar de machines van slachtoffers, waarmee de malware weer wordt geactiveerd.
·          Geavanceerde cryptografische spionagemodules: Het belangrijkste doel van de spionagemodules is het stelen van informatie, inclusief bestanden van verschillende cryptografische systemen zoals Acid Cryptofiler. Hiervan is bekend dat het sinds de zomer van 2011 binnen organisaties van de NAVO, de Europese Unie, het Europees Parlement en de Europese Commissie wordt gebruikt om gevoelige informatie te beschermen.
·          Mobiele apparaten: Naast aanvallen op traditionele werkstations, is de malware in staat om data te stelen van mobiele apparaten zoals smartphones (iPhone, Nokia en Windows Mobile). De malware kan bovendien configuratiegegevens stelen van enterprise netwerkapparatuur zoals routers en switches, maar ook verwijderde bestanden van verwisselbare schijfstations.  

Identificatie aanvaller: Op basis van de registratiegegevens van C2-servers en de verschillende in de executables van de malware achtergebleven artefacten, zijn er sterke technische aanwijzingen die duiden op aanvallers van Russisch-sprekende oorsprong. Daarnaast waren de door de aanvallers gebruikte uitvoerbare bestanden tot voor kort onbekend, en werden ze niet geïdentificeerd door Kaspersky Lab-deskundigen tijdens de analyse van voorgaande cyberspionage-aanvallen.  

Kaspersky Lab blijft in samenwerking met internationale organisaties, wetshandhavingsinstanties en Computer Emergency Response Teams (CERT's) onderzoek doen naar Rocra, door het bieden van technische expertise en middelen aan te wenden voor herstel- en mitigatieprocedures.  

Kaspersky Lab wil graag de volgende teams bedanken voor hun hulp bij het onderzoek: het US-CERT,  het Roemeense CERT en de Wit-Russische CERT.  

De Rocra malware is met succes gedetecteerd, geblokkeerd, gesaneerd en geclassificeerd als Backdoor.Win32.Sputnik door de producten van Kaspersky Lab.  

Lees het volledige Rocra-onderzoeksrapport door Kaspersky Lab-deskundigen op Securelist. 

Trefwoorden: Cybercrime, Ict Beveiliging, Internet Security, Kaspersky Lab, Spyware,

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


04-06-2013

Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage   Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


27-02-2013

Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit