Как кампанията за кибер-атаки „червен октомври“ успя под радара

Kaspersky Lab публикува първия от докладите от две части за „Червения октомври“, атака за злонамерен софтуер, за която компанията смята, че заразява правителствени системи на високо ниво в цяла Европа и може да бъде насочена конкретно към класифицирани документи. Според доклада, откраднатите данни са от порядъка на „стотици терабайти“ и са останали до голяма степен неоткрити за около пет години.

Червеният октомври, или "Rocra", носи името си от месеца, през който е открит за първи път, и титулярната мълчалива руска подводница, представена от автора Том Кланси. Можете да разберете за Червения октомври и неговия фон в PC Mag.

Специално насочени атаки

Докладът описва Червения октомври като „рамка“, която може бързо да бъде надградена, за да се възползва от слабостите на жертвите си. Нападателите започнали нападението си с копия на електронни писма или заразени документи, пригодени да се харесат на техните цели. Веднъж заразени, натрапниците ще събират информация в системата, преди да инсталират конкретни модули, за да увеличат проникването. Касперски преброи около 1000 такива уникални файла, попадащи в около 30 категории модули.

Това е значително по-различен подход от Flame или друг зловреден софтуер, хващащ заглавия. В доклада се казва, че „има висока степен на взаимодействие между нападателите и жертвата - операцията се ръководи от вида конфигурация, която жертвата има, какъв тип документи използва, инсталирания софтуер, родния език и т.н.“

„В сравнение с Пламъка и Гаус, които са високо автоматизирани кампании за кибереспионаж, Рокра е много по-„ личен “и фино настроен за жертвите“, пише Касперски.

Нападателите бяха също толкова отвратителни, колкото и методични, всъщност променящи тактиката за използване на открадната информация. "Информацията, събрана от заразени мрежи, се използва повторно при по-късни атаки", пише Касперски. „Например откраднатите идентификационни данни бяха компилирани в списък и използвани, когато нападателите трябваше да отгатват пароли и мрежови идентификационни данни на други места.“

Стоене извън радара

Този вид целенасочена атака не само позволи на лицата зад Червения октомври да преминат след цели на високо ниво, но и помогна на операцията да остане неоткрита от години. "Комбинацията от висококвалифицирани, добре финансирани нападатели и ограничено разпространение обикновено означава, че зловредният софтуер е в състояние да остане под радара за значителен период от време", заяви старшият изследовател на Kaspersky Roel Schouwenberg пред SecurityWatch . "Освен това не сме виждали използването на никакви уязвимости за нулев ден, което отново показва колко важно е кръпката."

Schouwenberg продължи да казва, че многобройните слоеве на сигурност могат да помогнат да се блокират срещу подобни видове атаки. Той каза на SecurityWatch , "това е причината за задълбочената защита и играят подходи като отказ по подразбиране, бели списъци и контрол на приложенията. Атаките могат да бъдат спрени дори без точно откриване."

Не е задължително работата на нациите

Въпреки целите на високо ниво, Касперски подчертава, че няма окончателна връзка с нападение от страна на държавата. В доклада се казва, че докато насочената информация може да бъде ценна за нациите, „такава информация може да се търгува в ъндърграунда и да се продава на най-високия участник, който може да бъде, разбира се, навсякъде“.

Заплахите, създадени по поръчка като Червения октомври, са видът на най-лошите сценарии, който поддържа хората от сигурността в Пентагона цяла нощ. За щастие, спецификата, която направи Червения октомври успешен, също означава, че е малко вероятно да заплашва редовни потребители като вас и мен.

За съжаление, това не променя факта, че нов и мощен играч работи зад кулисите от години.

За повече от Макс, следвайте го в Twitter @wmaxeddy.