Spoločnosť Kaspersky Lab vydala prvú dvojdielnu správu o „Červenom októbri“, o útoku škodlivého softvéru, ktorý spoločnosť verí, že napáda vládne systémy na vysokej úrovni v celej Európe a mohol by sa konkrétne zameriavať na utajované dokumenty. Podľa správy sú odcudzené údaje rádovo „stovky terabajtov“ a približne päť rokov zostali takmer nezistené.
Červený október, alebo „Rocra“, má svoje meno od mesiaca, v ktorom bol prvýkrát objavený, a titulnej tichej ruskej ponorky, ktorú si predstavil autor Tom Clancy. O červenom októbri a jeho pozadí sa môžete dozvedieť na PC Mag.
Konkrétne zacielené útoky
Správa popisuje Červený október ako „rámec“, ktorý možno rýchlo vylepšiť, aby sa využili slabiny jeho obetí. Útočníci začali útok spearfizujúcimi e-mailovými správami alebo infikovanými dokumentmi, ktoré boli upravené tak, aby vyhovovali ich cieľom. Po infikovaní útočníci zhromaždia informácie o systéme pred inštaláciou konkrétnych modulov, aby rozšírili prienik. Spoločnosť Kaspersky počítala približne 1 000 takýchto jedinečných súborov, ktoré spadajú do približne 30 kategórií modulov.
Toto je výrazne odlišný prístup ako Flame alebo iný malware, ktorý zachytáva nadpis. Správa hovorí: „existuje vysoká miera interakcie medzi útočníkmi a obeťou - operácia je riadená typom konfigurácie, ktorý má obeť, aký typ dokumentov používa, nainštalovaný softvér, rodný jazyk atď.“
„V porovnaní s Flame a Gaussom, ktoré sú vysoko automatizovanými kybernetickými kampaňami, je Rocra oveľa„ osobnejšia “a jemne vyladená pre obete, “ píše Kaspersky.
Útočníci boli rovnako mizerní ako metodickí, vlastne zmenili taktiku, aby používali ukradnuté informácie. „Informácie získané z infikovaných sietí sa pri neskorších útokoch znova používajú, “ píše Kaspersky. „Napríklad ukradnuté poverenia boli zostavené do zoznamu a použité, keď útočníci potrebovali uhádnuť heslá a sieťové poverenia na iných miestach.“
Zostať mimo radaru
Tento druh cieleného útoku nielenže umožnil tým, ktorí za Červeným októbrom išli po cieľoch na vysokej úrovni, ale pomohol operácii zostať roky nezistené. „Kombinácia vysoko kvalifikovaných a dobre financovaných útočníkov a obmedzená distribúcia vo všeobecnosti znamenajú, že malware je schopný zostať pod radarom počas značného časového obdobia, “ uviedol vedecký pracovník spoločnosti Kaspersky Roel Schouwenberg pre SecurityWatch . „Okrem toho sme nevideli žiadne zraniteľné miesta v nultom dni, čo opäť ukazuje, aké dôležité je opravovanie.“
Schouwenberg ďalej uviedol, že proti takýmto útokom môže pomôcť blokovať niekoľko vrstiev bezpečnosti. SecurityWatch povedal: „Preto je dôležitá ochrana do hĺbky a prichádzajú do úvahy prístupy ako predvolené odmietnutie, whitelisting a kontrola aplikácií. Útoky je možné zastaviť aj bez presnej detekcie.“
Nie je to nevyhnutne práca národov
Napriek cieľom na vysokej úrovni spoločnosť Kaspersky zdôrazňuje, že neexistuje definitívne spojenie s útokom sponzorovaným štátom. V správe sa uvádza, že zatiaľ čo cieľové informácie môžu byť pre národy cenné, „tieto informácie by sa však mohli obchodovať v podzemí a predávať dražiteľovi s najvyššou ponukou, čo môže byť samozrejme kdekoľvek.“
Hrozby šité na mieru, napríklad Červený október, sú druhom najhoršieho scenára, ktorý udržuje ľudí v bezpečí v Pentagone celú noc. Našťastie špecifickosť, ktorá viedla k úspechu Červeného októbra, tiež znamená, že je nepravdepodobné, že ohrozí bežných spotrebiteľov, ako ste vy a ja.
To bohužiaľ nemení skutočnosť, že nový a výkonný hráč pracuje už niekoľko rokov v zákulisí.
Ak chcete získať viac od Maxa, sledujte ho na Twitteri @ Wmaxeddy.