卡巴斯基實驗室發現全球範圍內針對外交和政府機構的高級網路間諜攻擊——「紅色十月」行動
2013年1月16日
攻擊者會創建獨特和靈活多樣的惡意軟體,從受害者電腦系統、手機設備和企業網路設備竊取資料和地緣政治情報。
--------------------------------------------------------------------------------
今天,卡巴斯基實驗室發佈了一項最新的研究報告。宣佈發現一起歷時至少五年的針對多個國家的外交、政府和科研工作團隊的網路間諜攻擊行動。這次攻擊行動的主要目標是東歐地區某些國家、前蘇聯國家和中亞一些國家,但是其受害者範圍很廣,還包括西歐和北美地區國家。攻擊者發動攻擊的主要目的是收集上述工作團隊的敏感檔案,包括地緣政治情報、連結加密電腦系統的授權以及來自個人行動設備和網路設備的資料。
>>閱讀卡巴斯基實驗室發表的「紅色十月」攻擊行動研究報告全文
2012年10月,卡巴斯基實驗室的安全專家發起了一項關於一系列針對國際外交服務機構的電腦網路攻擊調查。調查過程中,我們發現了一個大規模網路間諜,並對其進行了分析。根據卡巴斯基實驗室的分析報告,紅色十月行動(簡稱為Rocra)最早可追溯到2007年,並且到2013年1月仍處於活動狀態。
>>查看「紅色十月」受害者地理分佈圖
--------------------------------------------------------------------------------
主要研究發現
紅色十月高級網路間諜: 攻擊者至少從2007年就開始活動,主要集中針對全球多個國家的外交和政府機構發動攻擊。此外,一些研究學院、能源和核能機構以及貿易和航天機構同樣成為攻擊目標。紅色十月的攻擊者設計出自己的惡意軟體,被稱為「Rocra」。這種惡意軟體具有自身獨特的模組架構,由惡意擴展、竊取資訊的模組以及後門程式組成。
攻擊者經常利用從受感染網路獲取到的資訊,獲取其他系統的連結權限。例如,竊取到的驗證資訊會被收集到一個列表中,攻擊者需要猜測密碼或口令連結其他系統時,會利用這些收集到的資訊。
為了控制受感染的電腦網路,攻擊者創建了超過60個域名,並且在多個國家設有伺服器託管。其中大部分位於德國和俄羅斯。卡巴斯基實驗室對Rocra的命令和控制(C2)基礎設施分析後發現,大量的伺服器其實只是充當代理伺服器,目的是隱藏真實「母艦」控制伺服器的真實地理位置。
攻擊者從受感染系統竊取的資訊包括各類文檔,其擴展名包含:txt、csv、doc、 vsd、sxw、odt、docx、 rtf、 pdf,、mdb、xls、wab、 rst、xps、iau、cif、 key,、crt、cer、 hse、pgp、gpg、 xia、xiu、xis、xio、xig、acidcsa、acidsca、aciddsk、acidpvr、acidppr和 acidssa。尤其 「acid*」擴展名的檔案,是一種機密軟體「Acid Cryptofiler」所使用的檔案。該軟體被歐盟和NATO多個機構所使用。
--------------------------------------------------------------------------------
感染受害者
為了感染系統,攻擊者會向受害者發送一封針對性的魚叉式網路釣魚郵件,其中包含定製好的木馬下載器。為了將惡意軟體安裝並感染系統,惡意電子郵件中包含弱點利用程式,能夠利用系統中安裝的微軟Office軟體弱點發動攻擊。釣魚郵件中的文檔包含的弱點利用程式由其他攻擊者所創建,並被用在不同的網路攻擊行動中,包括亞洲地區針對軍事設施和能源設施的攻擊。Rocra攻擊中所使用文檔唯一的不同,是攻擊者修改了其中的嵌入可執行程式碼,將其替換成自己開發的程式碼。值得注意的是,木馬下載器中的一個命令將命令提示符的預設系統程式碼頁更改為1251,從而利用Cyrillic字體來渲染。
--------------------------------------------------------------------------------
遭受攻擊的受害者和工作團隊
卡巴斯基實驗室的安全專家使用兩種手段分析受害使用者。首先,使用整合於卡巴斯基實驗室產品的基於雲端的安全服務——卡巴斯基安全網路(KSN)收集到的檢測統計資料,生成感染遙測資料,並以黑名單和啟發式檢測規則形式提供高級威脅保護。卡巴斯基安全網路發現,惡意軟體中使用的弱點利用程式程式碼早在2011年就被使用,使得卡巴斯基實驗室安全專家可以查找同Rocra類似的感染。卡巴斯基實驗室研究團隊使用的第二種手段,是創建一個排污伺服器(sinkhole server),監控連結到Rocra命令和控制伺服器上的受感染電腦。透過兩種分析手段收集到的資料,能夠從兩個角度確認我們的發現。
卡巴斯基安全網路統計資料: 卡巴斯基安全網路檢測到的資料中,有多達幾百個不同系統被感染,這些被感染系統主要來自大使館、政府網路和工作團隊、科研機構以及領事館。根據KSN資料,大多數感染主要位於東歐,但是同樣也發現北美和西歐一些國家系統被感染,例如瑞士和盧森堡。
排污伺服器統計資料: 卡巴斯基實驗室的排污分析從2012年11月2日到2013年1月10日。期間,我們共監測到來自250個受感染IP地址進行了超過55,000次連結。這些受感染IP地址來自39個國家。其中大部分受感染IP連結來自瑞士,其次則為哈薩克斯坦和希臘。
--------------------------------------------------------------------------------
Rocra惡意軟體:獨特的架構和功能
攻擊者創建了一個多功能的攻擊平台,包括多個擴展和惡意檔案,能夠適應不同系統的配置,從受感染電腦收集情報。Rocra的平台非常特殊,卡巴斯基實驗室在之前的網路間諜攻擊調查中沒有發現這個平台。該攻擊平台包含以下特徵:
「復活」模組: 這個獨特的模組可以讓攻擊者「復活」受感染電腦。該模組以套件形式被嵌入Adobe Reader和微軟Office安裝中。能夠讓攻擊者很容易獲取被攻擊系統的連結權,即使系統上的惡意軟體被發現和清除,或者系統修補了安全弱點。一旦命令和控制伺服器開始執行,攻擊者會向受感染電腦發送電子郵件,其中包含一個特殊的檔案(PDF或Office文檔),從而再次激活惡意軟體。
高級加密間諜模組: 間諜模組的主要目的是竊取資訊。這些資訊包括多種加密系統的檔案,例如 Acid Cryptofiler。該加密系統從2011年夏季開始被NATO工作團隊、歐盟、歐盟議會和歐盟委員會使用,用於保護敏感資訊。
行動設備: 除了針對傳統的伺服器發動攻擊外,Rocra惡意軟體還能夠從行動設備竊取資料,例如智慧型手機(iPhone、Nokia和Windows Mobile)。該惡意軟體還能夠從企業網路設備如路由器和交換機竊取配置資訊,還能夠刪除可行動儲存設備上的檔案。
攻擊者身份: 根據命令和控制伺服器的註冊資料和惡意軟體可執行程式碼,我們有充分技術證據表明攻擊者來自俄語國家。此外,攻擊者所使用的可執行檔案直到最近才被發現,卡巴斯基實驗室在調查之前的網路間諜攻擊行動中,並沒有發現這個惡意軟體。
卡巴斯基實驗室將與多個國際工作團隊、執法機關和電腦應急響應團隊(CERTs)攜手,繼續對Rocra進行調查。提供響應的技術支持和資源,修復其感染造成的危害。
*卡巴斯基實驗室在此對美國CERT、羅馬尼亞CERT和白俄羅斯CERT在調查中給予的大力協助表示感謝。
*卡巴斯基實驗室的產品已經能夠成為檢測和攔截Rocra惡意軟體,並修復受感染系統。該惡意軟體被卡巴斯基產品檢測為Backdoor.Win32.Sputnik。
==============
連結網址:http://www.kaspersky.com.tw/news/2013-01/news_20130116-3.html
留言列表
