Red malware malware yang ditemui selepas bertahun-tahun mencuri data di alam liar

Sekumpulan penggodam bayangan telah menyulam data perisikan di seluruh dunia dari rangkaian komputer diplomatik, kerajaan, dan penyelidikan saintifik selama lebih dari lima tahun, termasuk sasaran di Amerika Syarikat, menurut Laporan dari Kaspersky Lab.

Kaspersky Lab memulakan penyelidikan serangan malware pada bulan Oktober dan dijuluki mereka "Rocra," pendek untuk "Red October." Rocra menggunakan beberapa kelemahan keselamatan dalam jenis dokumen Microsoft Excel, Word, dan PDF untuk menjangkiti PC, telefon pintar, dan peralatan rangkaian komputer. Pada hari Selasa penyelidik mendapati platform malware juga menggunakan eksploitasi Java berasaskan Web.

Tidak jelas siapa yang berada di belakang serangan itu, tetapi Rocra menggunakan sekurang-kurangnya tiga eksploitasi yang diketahui secara umum yang dibuat oleh hacker China. Pengaturcaraan Rocra, nampaknya berasal dari kumpulan koperasi berbahasa Rusia yang berasingan, menurut laporan dari Kaspersky Lab.

[Bacaan lanjut: PC baru anda memerlukan 15 program percuma yang sangat baik]

Serangan ini berterusan dan disasarkan kepada institusi peringkat tinggi dalam apa yang dikenali sebagai serangan memancing tombak. Kaspersky menganggarkan bahawa serangan Red October mungkin memperoleh beratus-ratus terabyte data pada masa ia telah beroperasi, yang mungkin seawal Mei 2007.

Rocra jangkitan ditemui di lebih daripada 300 negara antara 2011 dan 2012, berdasarkan pada maklumat dari produk antivirus Kaspersky. Negara terjejas terutamanya bekas anggota USSR, termasuk Rusia (35 jangkitan), Kazakhstan (21), dan Azerbaijan (15).

Negara lain dengan jangkitan yang tinggi termasuk Belgium (15), India (14) Afghanistan (10), dan Armenia (10). Enam jangkitan telah ditemui di kedutaan-kedutaan yang terletak di Amerika Syarikat. Oleh kerana nombor-nombor ini hanya datang dari mesin yang menggunakan perisian Kaspersky, bilangan sebenar jangkitan mungkin lebih tinggi.

Ambil semuanya

Kaspersky mengatakan malware yang digunakan di Rocra dapat mencuri data dari PC workstations dan smartphone yang disambungkan ke PC termasuk telefon bimbit iPhone, Nokia, dan Windows Mobile. Rocra boleh memperoleh maklumat konfigurasi rangkaian dari peralatan berjenis Cisco, dan ambil fail dari pemacu cakera boleh tanggal termasuk data yang dipadam.

Platform malware juga boleh mencuri mesej e-mel dan lampiran, merakam semua ketukan kekunci mesin yang dijangkiti, mengambil tangkapan skrin, dan ambil sejarah penyemakan imbas dari Chrome, Firefox, Internet Explorer, dan penyemak imbas Web Opera. Seolah-olah itu tidak mencukupi, Rocra juga merangkul fail yang disimpan di dalam pelayan FTP rangkaian tempatan dan boleh meniru dirinya di seluruh rangkaian tempatan.

Par untuk kursus

Walaupun keupayaan Rocra muncul luas, tidak semua orang dalam bidang keselamatan terkesan dengan kaedah serangan Rocra. "Nampaknya eksploitasi yang digunakan tidak maju dalam apa cara," firma keselamatan F-Secure berkata pada blog syarikatnya. "Penyerang menggunakan eksploitasi Word, Excel dan Jawa yang lama, terkenal. Setakat ini, tiada tanda kegagalan sifar hari yang digunakan. "Kerentanan sifar hari merujuk kepada eksploitasi yang tidak diketahui sebelum ini yang ditemui di alam liar.

Walaupun tidak terkesan dengan kapasiti teknikal, F-Secure berkata serangan Red October adalah menarik kerana panjang masa Rocra telah aktif dan skala spionase yang dilakukan oleh satu kumpulan. "Bagaimanapun," tambah F-Secure. "Kebenaran yang menyedihkan adalah bahawa syarikat-syarikat dan kerajaan sentiasa berada di bawah serangan serupa dari banyak sumber yang berbeza."

Rocra bermula ketika seseorang memuat unduhan dan membuka file produktif yang berniat jahat (Excel, Word, PDF) yang kemudian dapat memperoleh lebih banyak malware dari Rocra's pelayan arahan dan kawalan, kaedah yang dikenali sebagai penyumbat Trojan. Babak malware kedua ini termasuk program yang mengumpul data dan menghantar maklumat itu kembali kepada penggodam.

Data yang dicuri boleh termasuk jenis fail setiap hari seperti teks biasa, teks kaya, Word, dan Excel, tetapi serangan Red October juga menyusul data kriptografi seperti pgp dan gpg yang disulitkan fail.

Selain itu, Rocra mencari fail yang menggunakan Sambungan "Asid Cryptofile", yang merupakan perisian kriptografi yang digunakan oleh kerajaan dan organisasi termasuk Kesatuan Eropah dan Pertubuhan Perjanjian Atlantik Utara. Tidak jelas sama ada orang-orang di belakang Rocra mampu menguraikan apa-apa data yang dienkripsi yang mereka perolehi.

Kehidupan semula e-mel

Rocra juga sangat tahan terhadap gangguan dari penguatkuasaan undang-undang, menurut Kaspersky. Jika pelayan perintah dan kawalan kempen ditutup, penggodam telah merancang sistem supaya mereka dapat menguasai semula platform malware mereka dengan e-mel yang mudah. ​​

Salah satu komponen Rocra mencari dokumen PDF atau Office yang masuk yang mengandungi kod boleh laku dan ditandakan dengan tag metadata khas. Dokumen itu akan melepasi semua pemeriksaan keselamatan, kata Kaspersky, tetapi apabila ia dimuat turun dan dibuka, Rocra boleh memulakan aplikasi berniat jahat yang dilampirkan pada dokumen itu dan terus memberi data kepada orang jahat. Dengan menggunakan silap mata ini, semua penggodam perlu dilakukan menyediakan beberapa pelayan baru dan e-mel dokumen jahat kepada mangsa terdahulu untuk mendapatkan kembali perniagaan.

Pelayan Rocra didirikan sebagai satu siri proksi (pelayan bersembunyi di belakang pelayan lain), yang menjadikannya lebih sukar untuk mengetahui punca serangan tersebut. Kasperksy mengatakan kerumitan saingan infrastruktur Rocra bahawa malware Flame, yang juga digunakan untuk menjangkiti PC dan mencuri data sensitif. Tidak ada hubungan yang diketahui antara Rocra, Flame, atau malware seperti Duqu, yang dibina pada kod yang mirip dengan Stuxnet. Seperti yang dinyatakan oleh F-Secure, serangan Red October tidak kelihatan seperti melakukan sesuatu yang baru, tetapi jumlah masa kempen malware ini telah berada di alam liar mengesankan. Sama seperti kempen pengintip siber lain seperti Flame, Red October bergantung kepada penggodam pengguna untuk memuat turun dan membuka fail berniat jahat atau melawat laman web yang berniat jahat di mana kod boleh disuntik ke dalam peranti mereka. Ini menunjukkan bahawa walaupun pengintipan komputer mungkin semakin meningkat, asas-asas keselamatan komputer boleh pergi jauh untuk mencegah serangan ini.

Ambil langkah berjaga-jaga

Langkah berjaga-jaga yang berguna seperti berhati-hati terhadap fail dari pengirim yang tidak diketahui atau nonton untuk fail yang tidak sah dari penghantar mereka yang dikatakan adalah permulaan yang baik. Ia juga berguna untuk berhati-hati untuk melawat laman web yang tidak anda ketahui atau percaya, terutama apabila menggunakan peralatan korporat. Akhir sekali, pastikan anda mempunyai semua kemas kini keselamatan terkini untuk versi Windows anda, dan serius mempertimbangkan mematikan Java kecuali anda benar-benar memerlukannya.

Kaspersky mengatakan tidak jelas apakah serangan Red October adalah karya negara atau penjahat yang mencari untuk menjual data sensitif di pasaran gelap. Syarikat keselamatan merancang untuk melepaskan lebih banyak maklumat tentang Rocra pada hari-hari yang akan datang.

Jika anda khawatir sama ada mana-mana sistem anda terpengaruh oleh Rocra, F-Secure mengatakan perisian antivirusnya dapat mengesan eksploitasi yang diketahui saat ini yang digunakan di Serangan Merah Oktober. Perisian antivirus Kaspersky juga boleh mengesan ancaman dari Rocra.