пїњ

ќпераци€ Red October - обширна€ сеть кибершпионажа против дипломатических и государственных структур

(√остев ј. ј.)

("ѕраво и кибербезопасность", 2013, N 1)

“екст документа

ќѕ≈–ј÷»я RED OCTOBER - ќЅЎ»–Ќјя —≈“№  »Ѕ≈–Ўѕ»ќЌј∆ј ѕ–ќ“»¬

ƒ»ѕЋќћј“»„≈— »’ » √ќ—”ƒј–—“¬≈ЌЌџ’ —“–” “”–

ј. ј. √ќ—“≈¬

√остев ј. ј., главный антивирусный эксперт Ћ .

–ассматриваютс€ проблемы, св€занные с вы€влением "Ћабораторией  асперского" созданной и активно задействованной шпионской киберсети Red October с целью получени€ закрытых данных, наход€щихс€ на электронных носител€х в государственных органах многих стран мира.

 лючевые слова: "Ћаборатори€  асперского", вредоносные файлы, инфраструктура Flame, POP/IMAP-серверы, кибершпионаж, расследование, фишинговые атаки, Acid Cryptofiler, ≈вросоюз, NATO.

Operation "Red October" - a large network of cyber espionage against diplomatic and state structures

A. A. Gostev

The author considers problems related to detection by the Kaspersky Lab of active espionage cyber network "Red October" which works for the purpose of receipt of secret data stored on electronic carriers in the state agencies of many countries of the world.

Key words: Kaspersky Lab, malicious files, Flame infrastructure, POP/IMAP servers, investigation, fishing attacks, Acid Cryptofiler, European Union, NATO.

Ќа прот€жении последних п€ти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операци€ кибершпионажа, во врем€ которой собирались данные и секретна€ информаци€ с мобильных устройств, компьютеров и сетевого оборудовани€ атакованных организаций.

Ќесколько мес€цев эксперты "Ћаборатории  асперского" анализировали вредоносные файлы, использованные в атаке, котора€ была нацелена на конкретные организации в ¬осточной ≈вропе, странах бывшего —оветского —оюза и ÷ентральной јзии, а также «ападной ≈вропы и —еверной јмерики.

Ёта операци€, которую мы назвали Red October (в сокращении Rocra), продолжает оставатьс€ в активной фазе даже сейчас: украденные данные отсылаютс€ на несколько серверов управлени€, конфигураци€ сети которых не уступает по своей сложности инфраструктуре Flame. –егистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информаци€ о датах создани€ файлов указывают на то, что эти атаки проводились еще в мае 2007 г.

Ќесколько ключевых фактов, обнаруженных в ходе нашего расследовани€:

- атакующие были активны на прот€жении последних п€ти лет, фокусиру€сь на дипломатических и государственных ведомствах в разных странах мира;

- информаци€, собранна€ из зараженных сетей, использовалась в последующих атаках. Ќапример, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сет€х;

- дл€ контрол€ и управлени€ сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в √ермании и –оссии);

- инфраструктура серверов управлени€ представл€ет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираютс€ данные;

- многофункциональна€ платформа позвол€ет быстро примен€ть новые расширенные модули дл€ сбора информации (детектируютс€ "Ћабораторией  асперского" как Backdoor. Win32.Sputnik). —истема также имеет механизм противодействи€ закрытию серверов управлени€ и позвол€ет атакующим восстановить доступ к зараженным системам, использу€ альтернативные каналы св€зи;

- помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких, как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудовани€ (Cisco); осуществл€ть сбор файлов с USB-дисков (включа€ ранее удаленные файлы, дл€ чего использует собственную технологию восстановлени€ файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP-сервера, а также извлекать файлы с локальных FTP-серверов в сети;

- мы обнаружили использование как минимум трех различных эксплойтов к уже известным у€звимост€м: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). ¬ 2010 - 2011 гг. в известных нам атаках использовались эксплойты дл€ MS Excel, с лета 2012 г. начались атаки с использованием у€звимости в MS Word;

- эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. ќрганизаторы Red October только замен€ли исполн€емые файлы в документах на свои;

ќдин из файлов, использованных в ходе фишинговых атак

- в ходе последовательного распространени€ в локальной сети жертвы атакующие внедр€ли модуль дл€ сканировани€ сети с целью поиска станций, у€звимых дл€ эксплойта к MS08-067 (у€звимость, использованна€ червем Conficker) или доступных при помощи администраторского аккаунта и собственной базы паролей. ќтдельный модуль использовалс€ дл€ сбора информации дл€ заражени€ серверов в той же сети;

- регистрационные данные серверов управлени€ и различные "артефакты", оставленные в исполн€емых файлах, дают веские основани€ дл€ предположени€, что атакующие - русско€зычные;

- эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не св€заны с какими-либо другими известными нам целевыми атаками. ѕримечательно, что одна из команд в тро€нском модуле инсталл€ции переключает кодовую страницу инфицируемой системы на 1251. Ёто требуетс€ дл€ того, чтобы иметь возможность обращатьс€ к файлам и каталогам, содержащим кириллические символы.

FAQ:

„то такое Red October?

Red October - это сери€ целевых атак, которые происходили как минимум на прот€жении последних п€ти лет. ¬ ходе этой операции по всему миру были атакованы сотни жертв. јтакованные организации относ€тс€ к 8 категори€м:

1. ѕравительственные структуры.

2. ƒипломатические ведомства/посольства.

3. »сследовательские институты.

4. “орговые и коммерческие структуры.

5. ядерные/энергетические исследовани€.

6. Ќефт€ные и газовые компании.

7. јэрокосмическа€ отрасль.

8. ¬оенные ведомства и компании, св€занные с созданием вооружений.

¬есьма возможно, что существуют и другие категории организаций-мишеней, которые еще не были нами вы€влены или были атакованы в прошлом.

 ак и когда эта операци€ была обнаружена?

ћы начали наше исследование атак в окт€бре 2012 г. по просьбе одного из наших партнеров. ¬ ходе анализа атаки, писем и вредоносных модулей мы обнаружили истинные размеры кампании и начали ее полномасштабное расследование.

 то предоставил вам вредоносные файлы?

ћы получили их от нашего партнера, который и был заказчиком исследовани€. ќн предпочитает оставатьс€ анонимным.

 ак много зараженных систем было обнаружено "Ћабораторией  асперского"? —колько всего может быть жертв?  аков размах операции Red October в глобальном масштабе?

«а последние мес€цы мы обнаружили несколько сотен заражений по всему миру - все жертвы относ€тс€ к организаци€м высокого ранга, таким, например, как правительственные сети и дипломатические структуры. «аражени€ мы идентифицировали в основном в ¬осточной ≈вропе и странах бывшего ———–, однако есть жертвы в —редней јзии, —еверной јмерике и в странах «ападной ≈вропы, например в Ћюксембурге и Ўвейцарии.

ќсновыва€сь на данных, полученных при помощи Kaspersky Security Network (KSN), мы составили список стран с наибольшим количеством заражений Back-door. Win32.Sputnik (включены некоторые страны с 5 и более заражени€ми):

—трана „исло заражений

–осси€ 38

 азахстан 21

јзербайджан 15

Ѕельги€ 15

»нди€ 14

»ран 7

—Ўј 6

»тали€ 5

Ўвейцари€ 5

ќбъединенные 5

јрабские Ёмираты

—татистика, собранна€ при помощи технологии sinkhole, приведена ниже.

 то скрываетс€ за этой атакой? Ёти атаки были организованы при поддержке какого-то государства?

»нформаци€, которой мы обладаем, не дает возможности пр€мого определени€ какого-либо специфического источника атаки, однако мы выдел€ем два важных факта:

- используемые эксплойты изначально были созданы китайскими хакерами;

- вредоносные модули Red October были созданы русско€зычными специалистами.

¬ насто€щий момент у нас нет фактов, свидетельствующих о пр€мом участии в этой атаке какого-либо государства. »нформаци€, украденна€ атакующими, очевидно €вл€етс€ крайне конфиденциальной и включает в себ€, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. “ака€ информаци€ может быть выставлена на торги на черном рынке и продана любому, кто предложит наиболее высокую цену.

≈сть какие-нибудь интересные тексты в файлах, на основании которых можно предположить происхождение атакующих?

Ќесколько модулей содержат интересные опечатки и ошибки:

- network_scanner: "SUCCESSED", "Error_massage", "natrive_os", "natrive_lan";

- imapispool: "UNLNOWN_PC_NAME", "WinMain: error CreateThred stop";

- mapi_client: "Default Messanger", "BUFEER IS FULL";

- msoffice_plugin: "my_encode my_dencode";

- winmobile: "Zakladka injected", "Cannot inject zakladka, Error: %u";

- PswSuperMailRu: "-------PROGA START----", "-------PROGA END----".

»спользованное здесь слово PROGA, возможно, €вл€етс€ транслитерацией русского слова ѕ–ќ√ј, которое на жаргоне русскоговор€щих программистов означает буквально приложение или программу.

—лово Zakladka имеет два значени€ в русском €зыке:

- книжна€ закладка;

- специфический термин в отношении скрытого функционала в программе или устройстве. “ак же можно назвать микрофон, спр€танный внутри кирпича в стене посольства.

C++ class, который содержит конфигурацию параметров дл€ C&C, называетс€ MPTraitor, и соответствующа€ конфигурационна€ секци€ в ресурсах называетс€ conn_a. Ќесколько примеров:

- conn_a. D_CONN;

- conn_a. J_CONN;

- conn_a. D_CONN;

- conn_a. J_CONN.

 ака€ информаци€ похищаетс€ из зараженных систем?

»нформаци€ включает в себ€ документы с расширени€ми:

txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.

¬ частности, расширение acid* принадлежит секретному программному обеспечению дл€ шифровани€ Acid Cryptofiler, которое используетс€ в некоторых структурах ≈вросоюза и NATO.

„то €вл€етс€ целью операции? „то они искали, провод€ эти атаки так много лет?

ќсновной целью операции, как представл€етс€, €вл€етс€ сбор секретной информации и геополитических данных, хот€, по-видимому, информаци€ собираетс€ достаточно разнообразна€. «а последние п€ть лет атакующие украли данные у сотен организаций высокого ранга, и неизвестно, как эта информаци€ была использована.

 аков механизм заражени€? »меетс€ ли функционал самораспространени€?  ак это работает?

ќсновной модуль вредоносного комплекса выполн€ет функцию точки входа в систему и позвол€ет загрузить дополнительные модули дл€ следующих стадий атаки. ѕосле начального заражени€ сам по себе вредоносный модуль в сети не распростран€етс€. ќбычно атакующие несколько дней собирают информацию, определ€ют ключевые системы и затем устанавливают дополнительные модули, которые могут заражать другие компьютеры в сети разными методами, например, использу€ эксплойт MS08-067.

¬ общем, платформа создана дл€ выполнени€ "задач", которые поступают от серверов управлени€. Ѕольшинство таких "задач" представл€ют собой PE DLL-библиотеки, которые загружаютс€ с сервера, исполн€ютс€ в пам€ти компьютера без создани€ файлов на диске и "исчезают" после выполнени€ работы.

Ќекоторые задачи, впрочем, требуют посто€нного наличи€ в системе файлов, которые, например, ожидают подключени€ телефонов iPhone или Nokia. “акие задачи выполн€ютс€ при помощи PE EXE-файлов, установленных в систему.

ѕримеры посто€нных задач.

ѕри подключении USB-диска найти и извлечь с него файлы по маске/формату, включа€ удаленные ранее файлы. ”даленные файлы восстанавливаютс€ при помощи специального файлового обработчика.

ќжидать подключени€ мобильного телефона iPhone/Nokia. ѕосле подключени€ собрать информацию об устройстве, скопировать его адресную книгу, список контактов, историю звонков, SMS-сообщени€, данные календар€, историю браузера.

ќжидать подключени€ телефона на базе Windows Mobile. ѕосле подключени€ заразить телефон мобильным вариантом основного компонента бэкдора.

ќжидать открыти€ специального документа Microsoft Office или PDF и выполнить вредоносные инструкции, содержащиес€ в таком документе, - реализу€ таким образом односторонний скрытый канал коммуникации, который может быть использован дл€ восстановлени€ контрол€ за системой, например в случае отключени€ используемых серверов управлени€.

«апись всех вводимых данных с клавиатуры, сн€тие скриншотов.

»сполнение дополнительных зашифрованных модулей согласно предопределенному расписанию.

—бор почтовых сообщений и вложенных файлов из Microsoft Outlook, а также из доступных почтовых серверов (используютс€ ранее полученные учетные данные).

ѕримеры одноразовых задач.

—бор общей информации о системе и устройствах окружени€.

—бор информации о файловой системе и сетевом окружении, составление списка каталогов, поиск и извлечение файлов по маске по команде сервера управлени€.

—бор информации об установленных программах, особенно об Oracle DB, RAdmin, IM software, включа€ Mail. Ru agent, драйверах и приложени€х дл€ Windows Mobile, телефонах Nokia, SonyEricsson, HTC, Android, USB дисках.

»звлечение истории из браузеров Chrome, Firefox, Internet Explorer, Opera.

»звлечение сохраненных паролей к Web-сайтам, FTP-серверам, почтовым и IM-аккаунтам.

»звлечение хешей аккаунтов Windows, веро€тно, дл€ их последующего подбора - взлома.

»звлечение аккаунтов Outlook.

ќпределение внешнего IP-адреса зараженной системы.

«агрузка файлов с FTP-серверов, которые доступны с зараженной системы (включа€ те, которые наход€тс€ в локальной сети), с использованием полученных ранее (например в ходе других атак) данных авторизации.

«апись и/или исполнение произвольного кода.

ќсуществление сетевого сканировани€, доступ и сбор конфигурационных данных с сетевых устройств Cisco.

ќсуществление сетевого сканировани€ предопределенного диапазона и заражение систем, у€звимых дл€ MS08-067.

–аспространение по локальной сети (используютс€ ранее полученные административные привилегии).

ѕлатформа была разработана атакующими с нул€ и не использовалась в каких-либо других известных нам операци€х.

»звестно несколько модулей, которые созданы дл€ кражи данных с нескольких типов устройств/операционных систем:

- Windows Mobile;

- iPhone;

- Nokia.

Ёти модули устанавливаютс€ в систему и ожидают подключени€ к ней мобильного устройства. ѕосле подключени€ устройств модули начинают сбор данных с мобильных телефонов.

ћы не исключаем существовани€ модулей дл€ устройств на базе Android или телефонов BlackBerry, но в насто€щий момент нами они не обнаружены.

—колько вариантов модулей и вредоносных файлов было обнаружено в ходе расследовани€ операции Red October?

¬ ходе расследовани€ мы обнаружили более 1000 файлов, относ€щихс€ к 30 различным группам модулей. ¬се они были созданы в период с 2007 г. по начало 2013 г., а самые свежие датированы 8 €нвар€ 2013 г.

¬от полный список известных модулей Backdoor. Win32.Sputnik и их категорий:

Ёти атаки осуществл€лись точечно против избранных целей высокого ранга или они были рассчитаны на широкий круг организаций/жертв?

¬се атаки были тщательно подготовлены со знанием специфики целей. Ќапример, все исходные файлы документов были модифицированы и снабжены уникальными модул€ми, скомпилированными с уникальным ID-цел€ми.

ƒалее использовалс€ высокий уровень взаимодействи€ между атакующими и зараженным объектом - операци€ разворачивалась в зависимости от того, кака€ конфигураци€ на компьютере и в сети жертвы, какие типы документов используютс€, какие установлены приложени€ на рабочей станции, какой родной €зык жертвы и так далее.

¬ сравнении с кампани€ми кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более "персональные" и ориентированы на конкретных жертв.

Ёто как-то св€зано с вредоносными программами Duqu, Flame и Gauss?

√овор€ кратко, мы не обнаружили никаких св€зей между Red October и Flame/Tilded платформами.

ћожно как-то сравнить операцию Red October с похожими кибершпионскими операци€ми, такими, как Aurora или Night Dragon? ≈сть значительные отличи€ или сходство?

¬ сравнении с Aurora и Night Dragon, Red October гораздо более сложна€ и комплексна€ операци€. ¬ ходе расследовани€ мы обнаружили более 1000 уникальных файлов из 30 различных групп модулей Backdoor. Win32.Sputnik. Aurora и Night Dragon использовали более простые вредоносные программы дл€ кражи информации, чем Red October.

 роме того, в ходе операции Red October атакующие умудрились оставатьс€ "в игре" больше 5 лет, избега€ детектировани€ со стороны большинства антивирусных решений и, по нашей оценке, похитив к насто€щему времени сотни терабайтов информации.

 ак много серверов управлени€ использовалось? ѕровели ли вы их исследование?

¬ ходе расследовани€ мы обнаружили более 60 доменных имен, использованных атакующими дл€ контрол€ и получени€ данных жертв. ƒомены размещались на нескольких дес€тках IP-адресов, расположенных в основном в √ермании и –оссии.

Ёто схема инфраструктуры операции, которую мы наблюдали в ходе нашего анализа в конце 2012 г.:

ќсуществл€ли ли вы sinkhole каких-нибудь Command & Control серверов?

ƒа, нам удалось "перехватить" шесть из более чем 60 доменов, использованных в разных вариантах бэкдора. ¬ ходе мониторинга в период со 2 но€бр€ 2012 г. по 10 €нвар€ 2013 г. мы зарегистрировали более 55 000 подключений к нашему sinkhole. ќбщее количество различных IP-адресов, с которых происходили сеансы подключений, составл€ет 250.

— точки зрени€ географического распространени€ этих подключений мы установили 39 стран. Ќаибольшее количество IP-адресов было в Ўвейцарии.  азахстан и √реци€ на втором и третьем месте.

—татистика Sinkhole - 02.11.2012 - 10.01.2013

¬ ходе этого расследовани€ взаимодействует ли "Ћаборатори€  асперского" с правительственными организаци€ми, Computer Emergency Response Teams (CERTs), правоохранительными органами или компани€ми по безопасности?

"Ћаборатори€  асперского" в сотрудничестве с международными организаци€ми, правоохранительными органами, национальными Computer Emergency Response Teams (CERTs) и другими IT security-компани€ми продолжает расследование операции Red October, предоставл€€ техническую экспертизу и ресурсы дл€ информировани€ и проведени€ меропри€тий по лечению зараженных систем.

"Ћаборатори€  асперского" выражает благодарность US-CERT, CERT –умынии и CERT Ѕеларуси (ќперативно-аналитический центр при ѕрезиденте –еспублики Ѕеларусь) за их помощь в этом расследовании.

Ќазвание документа

пїњ