Jak kampaň kybernetických útoků „Rudý říjen“ uspěla pod radarem

Kaspersky Labs



Kaspersky Lab vydala první ze dvoudílné zprávy na 'Red October', malwarový útok, o kterém se společnost domnívá, že zamořuje vládní systémy na vysoké úrovni v celé Evropě a mohl by být konkrétně zaměřen na utajované dokumenty. Podle zprávy jsou ukradená data v řádu „stovek terabajtů“ a zůstala z velké části nezjištěna asi pět let.

Červený říjen neboli „Rocra“ má svůj název podle měsíce, ve kterém byla poprvé objevena, a titulární tichá ruská ponorka, kterou si představil autor Tom Clancy. Více o Červeném říjnu a jeho pozadí si můžete přečíst na PC Mag.





Specificky cílené útoky
Zpráva popisuje Rudý říjen jako „rámec“, který lze rychle upgradovat, aby využil slabosti svých obětí. Útočníci zahájili svůj útok spearphisingovými e-maily nebo infikovanými dokumenty přizpůsobenými tak, aby oslovily jejich cíle. Po infikování by vetřelci shromáždili informace o systému před instalací konkrétních modulů, které by zvýšily narušení. Kaspersky napočítal kolem 1000 takových unikátních souborů spadajících do asi 30 kategorií modulů.

Jedná se o výrazně odlišný přístup než Flame nebo jiný malware, který se šíří titulky. Zpráva říká, že „mezi útočníky a obětí existuje vysoký stupeň interakce – operace je řízena typem konfigurace oběti, typem dokumentů, které používá, nainstalovaným softwarem, rodným jazykem a tak dále.“



„Ve srovnání s Flame a Gauss, což jsou vysoce automatizované kyberšpionážní kampaně, je Rocra mnohem „osobnější“ a jemně vyladěná pro oběti,“ píše Kaspersky.

Útočníci byli stejně úskoční jako metodičtí, ve skutečnosti měnili taktiku, aby použili ukradené informace. „Informace získané z infikovaných sítí jsou znovu použity v pozdějších útocích,“ píše Kaspersky. 'Například odcizené přihlašovací údaje byly sestaveny do seznamu a použity, když útočníci potřebovali uhodnout hesla a síťové přihlašovací údaje na jiných místech.'

Zůstat mimo radar
Tento druh cíleného útoku nejenže umožnil těm, kdo stojí za Rudým říjnem, jít za cíli na vysoké úrovni, ale také pomohl operaci zůstat po léta nezjištěnou. 'Kombinace vysoce kvalifikovaných, dobře financovaných útočníků a omezené distribuce obecně znamená, že malware je schopen zůstat pod radarem po značnou dobu,' řekl senior výzkumník Kaspersky Roel Schouwenberg. SecurityWatch . 'Navíc jsme neviděli použití žádných zranitelností zero-day, což opět ukazuje, jak důležité je záplatování.'

Schouwenberg dále řekl, že několik vrstev zabezpečení může pomoci zabránit těmto druhům útoků. On řekl SecurityWatch „Proto je důležitá hloubková obrana a do hry vstupují přístupy jako výchozí odmítnutí, whitelisting a kontrola aplikací. Útoky lze zastavit i bez přesné detekce.'

Ne nutně Dílo národů
Navzdory cílům na vysoké úrovni Kaspersky zdůrazňuje, že neexistuje žádné definitivní spojení se státem podporovaným útokem. Zpráva říká, že zatímco cílené informace mohou být cenné pro národy, „s takovými informacemi lze obchodovat v podzemí a prodat je zájemci s nejvyšší nabídkou, což může být samozřejmě kdekoli“.

Hrozby šité na míru, jako je Rudý říjen, jsou těmi nejhoršími scénáři, které udržují bezpečnostní pracovníky v Pentagonu vzhůru celou noc. Naštěstí specifičnost, díky které byl Red October úspěšný, také znamená, že je nepravděpodobné, že by ohrožoval běžné spotřebitele, jako jste vy a já.

Bohužel to nic nemění na tom, že v zákulisí už léta funguje nový a výkonný hráč.

Pro více od Maxe ho sledujte na Twitteru @wmaxeddy .

Doporučená