Sélectionner une page

Octobre rouge - Les canons Aurora ne tirent plus !

Écrit par: | 2013 janvier 15 | | 0 |

Kaspersky Lab a publié aujourd'hui un nouveau rapport identifiant une nouvelle attaque de cyberespionnage qui attaque les organisations de recherche diplomatiques, gouvernementales et scientifiques du monde entier depuis au moins cinq ans. La série d'attaques vise principalement les pays d'Europe orientale, les membres de l'ex-Union soviétique et l'Asie centrale, mais des incidents se produisent partout, y compris en Europe occidentale et en Amérique du Nord.

logo kaspersky

Les attaquants visent à voler des documents critiques aux organisations, y compris des informations géopolitiques, des authentifications requises pour accéder aux systèmes informatiques et des informations personnelles à partir d'appareils mobiles et d'équipements réseau.

 

En octobre 2012, les experts de Kaspersky Lab ont lancé une enquête contre une série d'attaques visant les systèmes informatiques d'organisations diplomatiques internationales, au cours de laquelle ils ont découvert un réseau de cyberespionnage à grande échelle. Selon le rapport de Kaspersky Lab, l'opération Octobre rouge, appelée en abrégé « Rocra », est toujours active et ses débuts remontent à 2007.

 

Principaux résultats de la recherche :

 

Octobre Rouge est un réseau de cyberespionnage avancé : les attaquants sont actifs depuis au moins 2007 et se concentrent principalement sur les agences diplomatiques et gouvernementales du monde entier, ainsi que sur les instituts de recherche, les groupes énergétiques et nucléaires et les organisations commerciales et aérospatiales. Les criminels d'Octobre rouge ont développé leur propre malware, que Kaspersky Lab a identifié comme « Rocra ». Ce programme malveillant possède sa propre structure modulaire unique avec des extensions malveillantes, des modules spécialisés pour le vol de données et des chevaux de Troie dits « de porte dérobée », qui fournissent un accès non autorisé au système et permettent ainsi l'installation de logiciels malveillants supplémentaires et le vol de données personnelles.

 

Les attaquants utilisent souvent des informations extraites de réseaux infectés pour accéder à des systèmes supplémentaires. Par exemple, les authentifications volées peuvent fournir des indices sur les mots de passe ou les phrases nécessaires pour accéder à des systèmes supplémentaires.

 

Pour contrôler le réseau de machines infectées, les attaquants ont créé plus de 60 noms de domaine et plusieurs systèmes d'hébergement de serveurs dans différents pays, la plupart en Allemagne et en Russie. Une analyse de l'infrastructure C&C (Command & Control) de Rocra a montré que la chaîne de serveurs agissait en fait comme un proxy pour cacher l'emplacement du « vaisseau mère », c'est-à-dire le serveur de contrôle.

 

Les documents contenant des informations volées sur des systèmes infectés portent les extensions suivantes : txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. L'extension « acid » peut faire référence au logiciel « Acid Cryptofiler », utilisé par de nombreuses institutions, de l'Union européenne à l'OTAN.

 

Victimes

 

Pour infecter le système, les criminels ont envoyé des e-mails de harponnage ciblés à la victime avec un cheval de Troie « compte-gouttes » personnalisé, un virus qui pouvait se reproduire tout seul. Pour installer le malware et infecter votre système, l'e-mail malveillant contenait des exploits qui exploitaient les vulnérabilités de Microsoft Office et Microsoft Excel. Les exploits du message de phishing ont été créés par d'autres attaquants et utilisés lors de diverses cyberattaques, notamment des militants tibétains et des cibles militaires et énergétiques en Asie. La seule chose qui différencie le document utilisé par Rocra est le fichier exécutable intégrable que les attaquants ont remplacé par leur propre code. Il est à noter que l'une des commandes du compte-gouttes Trojan a modifié la page de codes système par défaut de la ligne de commande en 1251, ce qui est requis pour la police cyrillique.

 

Cibles

 

Les experts de Kaspersky Lab ont utilisé deux méthodes pour analyser les cibles. D'une part, ils sont basés sur les statistiques de découverte des services de sécurité basés sur le cloud de Kaspersky Security Network (KSN), qui sont utilisées par les produits de Kaspersky Lab pour signaler la télémétrie et fournir une protection avancée à l'aide de listes noires et de règles heuristiques. Dès 2011, KSN a détecté le code d'exploitation utilisé dans le malware, ce qui a déclenché un processus de surveillance supplémentaire lié à Rocra. La deuxième méthode des chercheurs consistait à créer un système appelé « gouffre » pour suivre le système infecté connecté aux serveurs C&C de Rocra. Les données obtenues par les deux méthodes différentes ont confirmé indépendamment les résultats.

 

  • Statistiques du KSN : Le KSN a découvert des centaines de systèmes infectés uniques, la plupart impliquant des ambassades, des réseaux et organisations gouvernementaux, des instituts de recherche scientifique et des consulats. Selon les données recueillies par KSN, la majorité des systèmes infectés provenaient d'Europe de l'Est, mais des incidents ont également été identifiés en Amérique du Nord et dans les pays d'Europe occidentale, en Suisse et au Luxembourg.
  • Statistiques des gouffres : l'analyse des gouffres de Kaspersky Lab a duré du 2012 novembre 2 au 2013 janvier 10. Pendant ce temps, plus de 250 55 connexions à partir de 0000 adresses IP infectées ont été enregistrées dans 39 pays. La plupart des connexions IP infectées provenaient de Suisse, du Kazakhstan et de Grèce.

 

 

Malware Rocra : structure et fonctionnalité uniques

 

Les attaquants ont créé une plate-forme multifonctionnelle qui comprend un certain nombre de plug-ins et de fichiers malveillants pour s'adapter facilement à différentes configurations de système et recueillir une valeur intellectuelle à partir des machines infectées. Cette plate-forme est unique à Rocra, Kaspersky Lab n'a rien vu de similaire lors des précédentes campagnes de cyberespionnage. Ses principales caractéristiques sont :

 

  • Module « Résurrection » : Ce module unique permet aux attaquants de ressusciter les machines infectées. Le module est intégré sous forme de plug-in dans les installations d'Adobe Reader et de Microsoft Office et offre aux criminels un moyen sécurisé de retrouver l'accès à un système ciblé si le corps principal du logiciel malveillant est découvert et supprimé, ou si les vulnérabilités du système sont corrigées. Une fois que les C&C fonctionnent à nouveau, les attaquants envoient par courrier électronique un fichier de document spécial (PDF ou Office) à la machine de la victime, ce qui réactive le malware.
  • Modules d'espionnage avancés : le but principal des modules d'espionnage est de voler des informations. Cela inclut les fichiers de divers systèmes de cryptage, tels que Acid Cryptofiler, qui est utilisé par des organisations telles que l'OTAN, l'Union européenne, le Parlement européen et la Commission européenne.
  • Appareils mobiles : en plus d'attaquer les postes de travail traditionnels, les logiciels malveillants peuvent également voler des données à partir d'appareils mobiles tels que les smartphones (iPhone, Nokia et Windows Mobile). En outre, le malware collecte les données de configuration des fichiers supprimés des périphériques du réseau d'entreprise tels que les routeurs, les commutateurs et les disques durs amovibles.

 

 

À propos des attaquants : sur la base des données d'enregistrement des serveurs C&C et d'un certain nombre de vestiges trouvés dans les fichiers exécutables du logiciel malveillant, de solides preuves techniques indiquent l'origine russe des attaquants. De plus, les fichiers exécutables utilisés par les criminels étaient inconnus jusqu'à présent et les experts de Kaspersky Lab ne les ont pas identifiés dans leurs précédentes analyses de cyberespionnage.

 

Fort de son expertise technique et de ses ressources, Kaspersky Lab continuera à enquêter sur Rocra en étroite coopération avec les organisations internationales, les forces de l'ordre et les centres nationaux de sécurité des réseaux.

 

Kaspersky Lab souhaite remercier l'US-CERT, les CERT roumains et le CERT biélorusse pour leur aide dans l'enquête.

 

Les produits de Kaspersky Lab, classés avec succès comme Blockdoor.Win32.Sputnik, ont été détectés, bloqués et restaurés avec succès.

En lisant: 1 458

Mesure:

A propos de l'auteur

s3nki

Propriétaire du site Web HOC.hu. Il est l'auteur de centaines d'articles et de milliers de nouvelles. En plus de diverses interfaces en ligne, il a écrit pour Chip Magazine et aussi pour PC Guru. Il a dirigé son propre magasin de PC pendant un certain temps, travaillant pendant des années comme directeur de magasin, directeur de service, administrateur système en plus du journalisme.

Articles Similaires

Opera 12, candidat à la libération, est arrivé

Opera 12, candidat à la libération, est arrivé

2012-06-10

Savez-vous ce qu'est PUBGeographic ?

Savez-vous ce qu'est PUBGeographic ?

2018-02-11

Le cheval de Troie Randsom exige de l'argent

Le cheval de Troie Randsom exige de l'argent

2006-05-03

Fait d'Age of Empires Online

Fait d'Age of Empires Online

2010-08-19

bannière

AcheterBestGear

Hirdetes

ranvée

Appareils électroménagers Ranvee