BattleIT

Kaspersky Lab rääkis Punasest Oktoobrist

385362_477963568915964_236633509_n

Kaspersky Lab avalikustas aruande uuringu kohta, mis käsitleb mastaapset küberkurjategijate korraldatud eri riikide diplomaatiliste, valitsus- ja teadusasutuste jälitamise kampaaniat. Kurjategijate tegevuse eesmärk oli saada salainfot, mis avaks ligipääsu arvutisüsteemidele, isiklikele mobiilseadmetele ja korporatiivvõrkudele ning võimaldaks koguda ka geopoliitilisi andmeid. Põhirõhk pandi endise NSVL-i vabariikidele, Ida-Euroopa riikidele ning mitmele Kesk-Aasia riigile.

2012. aasta oktoobris hakkasid Kaspersky Labi eksperdid uurima rahvusvaheliste diplomaatiliste esinduste arvutivõrkudele suunatud rünnakute seeriat. Neid juhtumeid uurides avastati laiaulatuslik küberjälituse võrgustik. Selle võrgustiku analüüsi tulemusena jõudsid eksperdid järeldusele, et Punase Oktoobri koodnimega operatsioon sai alguse juba 2007. aastal ja kestab tänapäevani.

Küberkurjategijate põhisihiks said diplomaatilised ja valitsusstruktuurid üle maailma. Samas leidub ohvrite nimekirjas teadusuuringuinstituute, energeetikaga, sh aatomienergiaga tegelevaid ettevõtteid, kosmoseagentuure ning kaubandusettevõtteid. Punase Oktoobri loojad töötasid välja oma pahavara: sellel on unikaalne moodularhitektuur, mis koosneb kahjurlaiendustest ehk andmevarguseks mõeldud moodulitest. Kaspersky Labi viiruste andmebaasis on selle pahavara nimeks Backdoor.Win32.Sputnik.

Nakatatud arvutivõrgu juhtimiseks kasutati rohkem kui 60 domeeninime ja üle maailma asuvaid servereid. Suurem osa neist paiknes Saksamaa ja Venemaa territooriumil. Serverite taristu analüüs näitas, et kurjategijad kasutasid põhiserveri asukoha varjamiseks tervet puhverserverite ketti.

Kurjategijad varastasid nakatatud süsteemidest infot, mis sisaldus eri formaatidega failides. Muude seas avastasid eksperdid faile laiendiga „acid*”: see viitab, et failid pärinevad salastamistarkvarast Acid Cryptofiler, mida rakendab hulk Euroopa Liidu ja NATO asutusi.

Süsteemide nakatamiseks kasutasid kurjategijad mõne organisatsiooni konkreetsele kasutajale saadetud õngitsemiskirju. Seal sisaldus troojalane, mille paigaldamiseks olid kirjades Microsoft Office’i turvaauke kasutavad exploit’id. Need exploit’id olid loodud kaaskurjategijate poolt ning kasutusel mitmes küberrünnakus, mis olid suunatud nii Tiibeti aktivistide kui ka mõne Aasia riigi militaar- ja energiaharu pihta.

Küberjälituse ohvrite tuvastamiseks rakendasid Kaspersky Labi eksperdid kahest allikast saadud andmeid: pilveserverist Kaspersky Security Network (KSN) ning juhtserveritega ühendust otsivate nakatatud arvutite jälgimiseks mõeldud sinkhole-serveritest.

 

Küberkurjategijad olid loonud rünnakute tegemiseks multifunktsionaalse platvormi: see sisaldas mitutkümmet laiendust ja kahjurfaili, mis olid suutelised kiiresti kohanema eri süsteemikonfiguratsioonidega ning koguma nakatatud arvutitelt konfidentsiaalseid andmeid.

Moodulite kõige tähelepanuväärsemad omadused on järgmised:

 

 

Juhtserverite registreerimisandmed ja pahavara käivitusfailides sisalduv info annavad alust arvata, et kurjategijatel on vene juured.

Kaspersky Lab jätkab koostöös rahvusvaheliste organisatsioonide, õiguskaitseorganite ja riiklike turvaintsidentide käsitlemise kontaktpunktidega (computer emergency response teams, CERT) operatsiooni uurimist, pakkudes tehnilist ekspertiisi ning ressursse teavitustegevuseks ja nakatatud süsteemide parandamiseks.

Detailsem info on kättesaadav aadressilt www.securelist.com/en/analysis.

NB! Lätis ja Leedus sattusid rünnaku alla diplomaatilised esindused. Eestis ei ole praegu Punase Oktoobriga seotud intsidente tuvastatud, mis aga ei tähenda, et neid pole kunagi toimunud.

Exit mobile version