Red October Malware: Behind the Scenes
Índice:
Um obscuro grupo de hackers desviou dados de inteligência em todo o mundo de redes de computação diplomática, governamental e científica há mais de cinco anos, incluindo alvos nos Estados Unidos. relatório da Kaspersky Lab.
A Kaspersky Lab começou a pesquisar os ataques de malware em outubro e apelidou-os de “Rocra”, abreviação de “Outubro Vermelho”. Rocra usa várias vulnerabilidades de segurança nos tipos de documentos do Microsoft Excel, Word e PDF para infectar PCs, smartphones e equipamentos de rede de computadores. Na terça-feira, pesquisadores descobriram que a plataforma de malware também usa exploits de Java baseados na Web.
Não está claro quem está por trás dos ataques, mas a Rocra usa pelo menos três explorações publicamente conhecidas originalmente criadas por hackers chineses. A programação de Rocra, no entanto, parece pertencer a um grupo separado de operadoras de língua russa, de acordo com o relatório da Kaspersky Lab.
[Mais leitura: Seu novo PC precisa desses 15 programas gratuitos e excelentes]Os ataques são em curso e dirigido a instituições de alto nível nos chamados ataques de pesca submarina. Kaspersky estima que os ataques do Red October provavelmente tenham obtido centenas de terabytes de dados no período em que esteve operacional, o que poderia acontecer em maio de 2007.
As infecções de Rocra foram descobertas em mais de 300 países entre 2011 e 2012, com base informações sobre os produtos antivírus da Kaspersky. Os países afetados eram principalmente ex-membros da URSS, incluindo Rússia (35 infecções), Cazaquistão (21) e Azerbaijão (15).
Outros países com um alto número de infecções incluem Bélgica (15), Índia (14), Afeganistão (10) e Armênia (10). Seis infecções foram descobertas em embaixadas localizadas nos Estados Unidos. Como esses números vieram apenas de máquinas que usam o software da Kaspersky, o número real de infecções pode ser muito maior.
Kaspersky informou que o malware usado na Rocra pode roubar dados de estações de trabalho e smartphones conectados a PCs, incluindo o Aparelhos iPhone, Nokia e Windows Mobile. A Rocra pode adquirir informações de configuração de rede de equipamentos da marca Cisco e capturar arquivos de unidades de disco removíveis, incluindo dados excluídos.
A plataforma de malware também pode roubar mensagens de e-mail e anexos, registrar todas as teclas pressionadas de uma máquina infectada, fazer capturas de tela e pegue o histórico de navegação dos navegadores Chrome, Firefox, Internet Explorer e Opera. Como se isso não bastasse, o Rocra também pega arquivos armazenados em servidores FTP da rede local e pode se replicar em uma rede local.
Mesmo que os recursos da Rocra pareçam extensos, nem todos no campo de segurança ficou impressionado com os métodos de ataque de Rocra. "Parece que as façanhas usadas não foram avançadas de forma alguma", disse a empresa de segurança F-Secure no blog da empresa. “Os invasores usaram explorações antigas, bem conhecidas do Word, Excel e Java. Até agora, não há sinais de vulnerabilidades de dia zero sendo usadas. ”Uma vulnerabilidade de dia zero se refere a explorações anteriormente desconhecidas descobertas na natureza.
Apesar de não se impressionar com sua capacidade técnica, a F-Secure diz que os ataques do Red October são interessantes devido ao período de tempo em que Rocra esteve ativa e à escala da espionagem realizada por um único grupo. “No entanto,” acrescentou a F-Secure. “A triste verdade é que empresas e governos estão constantemente sob ataques semelhantes de muitas fontes diferentes.”
Rocra começa quando uma vítima baixa e abre um arquivo de produtividade maliciosa (Excel, Word, PDF) que pode recuperar mais malwares da Rocra servidores de comando e controle, um método conhecido como um conta-gotas de Trojan. Esta segunda rodada de malware inclui programas que coletam dados e enviam essas informações de volta a hackers.
Os dados roubados podem incluir tipos de arquivo diários, como texto simples, rich text, Word e Excel, mas os ataques Red October também vão atrás de dados criptográficos como arquivos criptografados em pgp e gpg.
Além disso, Rocra procura arquivos que usam Extensões de “Ácido Cryptofile”, que é um software criptográfico usado por governos e organizações, incluindo a União Européia e a Organização do Tratado do Atlântico Norte. Não está claro se as pessoas por trás da Rocra são capazes de decifrar quaisquer dados criptografados que obtenham.
Rocra também é particularmente resistente à interferência da lei, de acordo com a Kaspersky. Se os servidores de comando e controle da campanha foram desligados, os hackers projetaram o sistema para que eles possam recuperar o controle sobre sua plataforma de malware com um simples e-mail.
Um dos componentes da Rocra pesquisa qualquer documento PDF ou Office recebido que contém código executável e é sinalizado com tags de metadados especiais. O documento passará por todas as verificações de segurança, diz a Kaspersky, mas uma vez baixado e aberto, a Rocra pode iniciar um aplicativo malicioso anexado ao documento e continuar a fornecer dados aos malfeitores. Usando esse truque, tudo o que os hackers precisam fazer é configurar alguns novos servidores e enviar por e-mail documentos maliciosos para as vítimas anteriores para voltar aos negócios.
Os servidores da Rocra são configurados como uma série de proxies (servidores escondidos atrás de outros servidores), o que torna muito mais difícil descobrir a origem dos ataques. Kasperksy diz que a complexidade da infra-estrutura da Rocra rivaliza com a do malware Flame, que também foi usado para infectar PCs e roubar dados confidenciais. Não há conexão conhecida entre Rocra, Flame ou malware como o Duqu, que foi criado em código semelhante ao Stuxnet.
Como observado pela F-Secure, os ataques do Red October não parecem estar fazendo nada particularmente novo, mas a quantidade de tempo que esta campanha de malware está em estado selvagem é impressionante. Semelhante a outras campanhas de espionagem cibernética como o Flame, o Red October confia em enganar os usuários para que baixem e abram arquivos maliciosos ou visitem sites maliciosos onde o código pode ser injetado em seus dispositivos. Isso sugere que, embora a espionagem por computador possa estar em ascensão, os princípios básicos de segurança do computador podem ajudar muito a evitar esses ataques.
Tome precauções
Precauções úteis, como desconfiar de arquivos de remetentes desconhecidos ou ficar atento a arquivos que estão fora do personagem de seu suposto remetente é um bom começo. Também é útil ter cuidado ao visitar sites que você não conhece ou não confia, especialmente ao usar equipamentos corporativos. Por fim, verifique se você tem todas as atualizações de segurança mais recentes para sua versão do Windows e considere seriamente desativar o Java, a menos que seja absolutamente necessário. Talvez você não consiga impedir todos os tipos de ataques, mas aderir a práticas básicas de segurança pode protegê-lo de muitos agentes mal-intencionados online.
Kaspersky diz que não está claro se os ataques de Outubro Vermelho são obra de um Estado-nação ou criminosos para vender dados sensíveis no mercado negro. A empresa de segurança planeja lançar mais informações sobre a Rocra nos próximos dias.
Se você está preocupado se algum dos seus sistemas é afetado pela Rocra, a F-Secure diz que seu software antivírus pode detectar as explorações atualmente conhecidas usadas na Rocra. Ataques vermelhos de outubro. O software antivírus da Kaspersky também pode detectar ameaças da Rocra.
Os europeus provavelmente usarão mais dados móveis do que os EUA, diz Cisco Os europeus provavelmente usarão mais dados móveis do que os EUA, de acordo com O tráfego de dados móveis deve dobrar a cada ano nos próximos cinco anos, impulsionado pelos serviços de vídeo, e os usuários mais pesados provavelmente serão europeus, de acordo com a Cisco Systems, que acaba de publicar uma atualização de seus dados. Previsão de tráfego de dados do Visual Networking Index.
Na Europa, mesmo aqueles com os aparelhos de dados mais primitivos, sem uma conexão 3G, provavelmente consumirão mais de 18MB de dados por mês até 2013, mais que o dobro de seus equivalentes nos EUA , de acordo com a Cisco. No ano passado, o número foi de apenas 800KB na Europa, e 400KB nos EUA
Adobe adverte de leitor, ataque de acrobata em estado selvagem
Adobe está advertindo de um ataque de dia zero em seu software de leitor e Acrobat.
O fim da Lei de Moore está no horizonte, diz que a Lei de Moore da AMD ajudou computadores a dobrar de energia a cada dois anos por décadas . A AMD diz que esses dias estão chegando ao fim. O físico teórico Michio Kaku acredita que a Lei de Moore tem cerca de 10 anos de vida antes que os tamanhos dos transistores se reduzam às limitações impostas pelas leis da termodinâmica e da física quântica. Esse dia de cálculo para a indústria de computação pode ainda estar a alguns anos de distância, mas s
O arquiteto chefe de produtos da empresa, John Gustafson, acredita que as dificuldades da AMD na transição de chips de 28 nanômetros para silício de 20 nanômetros mostram que chegamos ao começo do fim.