“Andrej, elveszett még egy tengeralattjárójuk…?!”

Vörös Október.

A Kaspersky Lab szerint 5 éve aktív egy elsősorban diplomáciai szervezeteket támadó malware. Támadásra utaló nyomokat találtak több európai államban, az Egyesült Államokban, néhány dél-amerikai országban, a Közel-Keleten, Afrika északi és déli részein, Oroszországban, Ausztráliában, Indonéziában, Japánban. A kód jelenleg is aktív, a begyűjtött információkat command-and-control szerverek gyűjtik össze, konfigurációjának komplexitása pedig vetekszik a Flame-ével. A c&c szerverek nagy része Német- és Oroszországban van – eddig több, mint hatvanat találtak belőlük. Valószínűleg azonban ezek a szerverek csak proxy-ként működnek az anyaszerver és a kliensek között. Az eddigiekkel ellentétben a célpontok nem csak számítógépek, hanem okostelefonok és bizonyos Cisco-eszközök is. A féreg saját file-recovery képességekkel is rendelkezik, így képes a törölt fájlok visszaállítására, Outlookból a levelek, illetve FTP-szerverről fájlok ellopására.

A fertőzést legalább hátom különböző Microsoft Office sebezhetőség teszi lehetővé:

  • CVE-2009-3129 (MS Excel)
  • CVE-2010-3333 (MS Word)
  • CVE-2012-0158 (MS Word)

A kiszemelt célpontok fertőzött dokumentumokat kaptak levélben, a végrehajtható kód a dokumentumokba beágyazva rejtőzik. A malware droppere létrehoz egy indítóállományt, beírja magát a registry-be, valamint betölti a payload-ot. A fertőzés után a támadók a Windows Server service-ben lévő támadási lehetőséget keresik (MS08-067, amit a Conficker is kihasznált), vagy pedig a saját jelszóadatbázisukból próbálnak legfelsőbb szintű jogosultságot szerezni. A támadások után viszonylag sok nyom maradt, így nagyon valószínűsíthető, hogy a támadók orosz anyanyelvűek.

A támadások szenvedő alanyai jól körülhatárolható területeken tevékenykednek. Ezek a területek a következők:

  • Államigazgatás
  • Diplomácia
  • Kutatóintézmények
  • Kereskedelem
  • Nukleáris kutatások
  • Olajipar
  • Légiközlekedés
  • Katonaság

A fenti listán kívüli területek is áldozatok lehetnek, erről még nincs információ.

A támadás mögött eddig nem állt semmilyen állami támogatás, jelenleg sincs erre bizonyíték. Az bizonyosnak látszik, hogy a malware-t orosz anyanyelvűek készítették, az általa használt exploitok pedig kínai programozók munkái. A kód által végrehajtott műveletek két fő csoportba sorolhatók:

Állandó műveletek:

  • csatlakoztatott USB-meghajtókon bizonyos fájlok keresése, akár a törölt fájlok között is
  • iPhone vagy Nokia telefon kapcsolatainak, üzeneteinek, hívástörténetének, naptárbejegyzéseinek ellopása csatlakoztatás esetén
  • Windows Mobile telefon fertőzése a mobil verzióval
  • várakozás megfelelően formázott MSO- vagy PDF-állományra, az abba ágyazott kód végrehajtása és olyan kommunikációs csatorna létrehozása, amellyel visszaszerezhető az irányítás a fertőzött gép fölött
  • billentyűleütések naplózása, képernyőmentések készítése
  • e-mailek és csatolmányok ellopása Outlookból

Egyszeri műveletek:

  • szoftver- és hardverkörnyezet információinak összegyűjtése
  • fájlrendszerek és megosztások felderítése, c&c szervertől kapott fájlmaszkok alapján fájlok keresése, könyvtárlisták létrehozása
  • információk keresése telepített Oracle-ről, RAdminról, driverek és programok keresése USB-eszközökhöz, okostelefonokhoz
  • böngészőelőzmények, tárolt jelszavak felkutatása minden elterjedtebb böngészőből
  • Windows account hash-ek összegyűjtése
  • Outlook account információk begyűjtése
  • fertőzött gép külső IP-jének megállapítása
  • korábban begyűjtött account-információk alapján FTP-letöltések indítása
  • saját kód futtatása/írása
  • Cisco eszközök konfigurációinak felderítése
  • MS08-067 sebezhetőség keresése a hálózaton
  • adminisztratív hozzáférésekkel replikációk indítása

Az eddig elvégzett kutatások alapján 30 különböző kategóriába sorolható az eddig felfedezett kb. 1000 modul. Az eddigi ismeretek szerint a Red October (aka Rocra) nem áll semmilyen kapcsolatban a Stuxnet-családdal.

UPDATE

A fenti három MSO-sebezhetőségen kívül úgy tűnik, hogy a támadók a Java Applet Rhino Script Engine egy hibáját is kihasználták a korai időkben, amely sandboxon kívüli java-kód futtatását teszi lehetővé (CVE-2011-3544). A kód elemzése azt mutatja, hogy a Red October ezen részét elkülönítve fejlesztették.

1 hozzászólás itt: ““Andrej, elveszett még egy tengeralattjárójuk…?!””

  • Hi admin, your blog is incredible i know very useful tool for
    every site owner (for content creation and SEO).
    Simply type in google for:
    Stoonkel’s Rewriter

Szólj hozzá

Avatar
QR-kód
qrcode
Archívum
Kategória
+GER+ Warriors
+GER+ Clan Urban Terror Community