Red October zararlı yazılımları yıllarca çalındıktan sonra ortaya çıktı.

Bir bilgisayar korsanlarının oluşturduğu bir bilgisayar grubu, beş yıldan fazla bir süredir, ABD’deki hedefler de dahil olmak üzere, ABD’nin diplomatik, hükümet ve bilimsel araştırma bilgisayar ağlarından istihbarat verilerinin dünya çapında sınanmasına neden oldu. Kaspersky Lab'den alınan rapor

Kaspersky Lab, Ekim ayındaki kötü amaçlı yazılım saldırılarını araştırmaya başladı ve “Red October” için kısa “Rocra” olarak adlandırdı. Rocra, Microsoft Excel, Word ve PDF belgeleri türlerinde bir dizi güvenlik açığını etkiliyor. PC'ler, akıllı telefonlar ve bilgisayar ağları. Salı günü araştırmacılar, kötü amaçlı yazılım platformunun da Web tabanlı Java istismarlarını kullandığını keşfetti.

Saldırıların arkasında kimin olduğu belli değil, ama Rocra, Çinli hackerlar tarafından orijinal olarak yaratılan en az üç kamu yararını kullanıyor. Ancak Rocra'nın programlaması, Kaspersky Lab'den alınan rapora göre, ayrı bir grup Rusça konuşan operatörden geliyor.

[Ek okuma: Yeni PC'niz bu 15 ücretsiz, mükemmel programa ihtiyaç duyuyor]

Saldırılar mızrak avı saldırıları olarak bilinen üst düzey kurumlarda devam etmekte ve hedeflenmektedir. Kaspersky, Red October saldırılarının, operasyonun başladığı sırada yüzlerce terabayt veri elde ettiğini tahmin ediyor. Bu, Mayıs 2007 gibi erken bir tarihte olabilir.

Rocra enfeksiyonları, 2011 ve 2012 yılları arasında 300'den fazla ülkede keşfedildi. Kaspersky'nin antivirüs ürünlerinin bilgileri. Etkilenen ülkeler başta Rusya (35 enfeksiyon), Kazakistan (21) ve Azerbaycan (15) dahil olmak üzere SSCB'nin eski üyeleriydi.

Çok sayıda enfeksiyonu olan diğer ülkeler arasında Belçika (15), Hindistan (14), Afganistan (10) ve Ermenistan (10). Amerika Birleşik Devletleri'nde bulunan elçiliklerde altı enfeksiyon ortaya çıkarıldı. Bu rakamlar sadece Kaspersky yazılımını kullanan makinelerden geldiği için, gerçek enfeksiyon sayısı çok daha yüksek olabilir.

Hepsini al

Kaspersky, Rocra'da kullanılan kötü amaçlı yazılımın, PC iş istasyonlarından ve PC'ler dahil PC'lere bağlı akıllı telefonlardan veri çalabileceğini söyledi. iPhone, Nokia ve Windows Mobile telefonlar. Rocra, Cisco markalı ekipmanlardan ağ yapılandırma bilgilerini alabilir ve silinmiş veriler de dahil olmak üzere çıkarılabilir disk sürücülerinden dosyaları alabilir.

Kötü amaçlı yazılım platformu, e-posta iletilerini ve eklerini çalabilir, virüslü bir makinenin tüm tuş vuruşlarını kaydedebilir, ekran görüntüsü alabilir, ve Chrome, Firefox, Internet Explorer ve Opera Web tarayıcılarından tarama geçmişini alın. Bu yeterli değil gibi, Rocra da yerel ağ FTP sunucularında depolanan dosyaları alır ve yerel bir ağ üzerinden kendini çoğaltabilir.

Par için

Parite'nin yetenekleri geniş görünse de, güvenlik alanındaki herkes Rocra'nın saldırı yöntemleri tarafından etkilendi. F-Secure güvenlik firması şirketin blogunda şöyle demiştir: “Kullanılan istismarlar hiçbir şekilde gelişmemiş görünüyor” dedi. “Saldırganlar eski, iyi bilinen Word, Excel ve Java istismarlarını kullandılar. Şimdiye kadar, sıfır gün güvenlik açıklarının kullanılmadığına dair bir işaret yok. ”Sıfır gün savunmasızlığı, daha önceden bilinmeyen, vahşi ortamda keşfedilen istisnalara işaret ediyor.

Teknik kapasitesi nedeniyle baskı altında olmamasına rağmen, F-Secure Red October saldırılarını söylüyor Rocra'nın aktif olduğu sürenin uzunluğu ve tek bir grup tarafından üstlenilen casusluğun ölçeği nedeniyle ilginçtir. “Ancak,” F-Secure ekledi. “Üzücü gerçek şu ki, şirketler ve hükümetler sürekli olarak birçok farklı kaynaktan gelen benzer saldırılara maruz kalıyorlar.”

Rocra kurbanı indirip zararlı bir üretkenlik dosyasını (Excel, Word, PDF) açıp Rocra'nın daha fazla kötü amaçlı yazılımını aldığında başlıyor. komut-kontrol sunucuları, bir Trojan damlalığı olarak bilinen bir yöntem. Bu kötü amaçlı yazılımın ikinci turu, veri toplayan ve bu bilgileri hackerlara geri gönderen programlar içerir.

Çalınan veriler düz metin, zengin metin, Word ve Excel gibi günlük dosya türlerini içerebilir, ancak Red October saldırıları da pgp ve gpg şifrelenmiş dosyalar gibi kriptografik verilerden sonra gider.

Ayrıca, Rocra, kullanılan dosyaları arar. Avrupa Birliği ve Kuzey Atlantik Antlaşması Örgütü de dahil olmak üzere hükümetler ve kuruluşlar tarafından kullanılan şifreleme yazılımı olan “Acid Cryptofile” uzantıları. Rocra'nın arkasındaki kişilerin elde ettikleri şifrelenmiş veriyi çözüp çözemedikleri belli değil.

E-mail yeniden doğuşu

Rocra da Kaspersky'ye göre kolluk kuvvetlerinin müdahalesine karşı özellikle dirençli. Kampanyanın komut ve kontrol sunucuları kapatılmışsa, bilgisayar korsanları sistemi basit bir e-posta ile kendi zararlı yazılım platformları üzerinde kontrol edebilmeleri için tasarlamıştır.

Rocra'nın bileşenlerinden biri gelen PDF veya Office belgesini arar Yürütülebilir kod içeren ve özel meta veri etiketleriyle işaretlenmiş. Kaspersky, belgenin tüm güvenlik kontrollerini geçeceğini söylüyor, ancak indirildikten ve açıldıktan sonra, Rocra belgeye eklenmiş kötü amaçlı bir uygulama başlatabilir ve verileri kötü adamlarla beslemeye devam edebilir. Bu hileyi kullanarak, tüm bilgisayar korsanlarının yeni bir sunucu kurmaları ve işyerlerine geri dönmeleri için kötü niyetli dokümanları e-posta ile göndermeleri gerekiyor.

Rocra'nın sunucuları bir dizi proxy olarak (diğer sunucuların arkasına gizlenen sunucular) kuruldu.), saldırıların kaynağını bulmak çok daha zor hale getirir. Kasperksy, Rocra'nın altyapısının karmaşıklığının, PC'leri enfekte etmek ve hassas verileri çalmak için de kullanılan Flame kötü amaçlı yazılımın rakiplerine karşı olduğunu söylüyor. Roca, Flame veya Stuxnet'e benzer bir kod üzerine inşa edilen Duqu gibi kötü amaçlı yazılımlar arasında bilinen bir bağlantı yoktur.

F-Secure'un belirttiği gibi, Red October saldırıları özellikle yeni bir şey yapmıyor gibi görünüyor. Ancak bu kötü amaçlı yazılım kampanyasının vahşi ortamda geçirdiği süre çok etkileyici. Flame, Red October gibi diğer siber casusluk kampanyalarına benzer şekilde, kullanıcıları kötü amaçlı dosyaları indirmeye ve açmaya veya kodların cihazlarına enjekte edilebileceği kötü amaçlı web sitelerini ziyaret etmeye yönlendiriyor. Bu, bilgisayar casusluğunun yükselişte olabileceğini düşünürken, bilgisayar güvenliğinin temelleri, bu saldırıları önlemenin uzun bir yolunu bulabilir.

Önlemleri alın

Bilinmeyen göndericilerden gelen dosyalara karşı dikkatli olun veya Sözde gönderenlerinden karakterleri olmayan dosyalar iyi bir başlangıçtır. Özellikle şirket ekipmanlarını kullanırken bilmediğiniz veya güvendiğiniz web sitelerini ziyaret etmekten çekinmek de yararlıdır. Son olarak, Windows sürümünüz için en son güvenlik güncelleştirmelerini aldığınızdan emin olun ve kesinlikle ihtiyacınız olmadıkça Java'yı kapatmayı ciddi olarak düşünün. Her türlü saldırıyı önleyemeyebilirsiniz, ancak temel güvenlik uygulamalarına bağlı kalmak sizi çevrimiçi birçok kötü oyuncudan koruyabilir.

Kaspersky, Red October saldırılarının bir ulus devletin mi yoksa suçluların mı işlediğini açık değil mi? Karaborsada hassas veri satmak. Güvenlik şirketi Rocra hakkında daha fazla bilgiyi önümüzdeki günlerde yayınlamayı planlıyor.

Eğer sistemlerden herhangi birinin Rocra'dan etkilenip etkilenmediğine dair endişeleriniz varsa, F-Secure antivirüs yazılımının şu anda bilinen ve bilinen Kırmızı Ekim saldırıları. Kaspersky'nin virüsten koruma yazılımı ayrıca Rocra'dan gelen tehditleri de algılayabilir.