{"id":1269,"date":"2013-01-14T23:29:30","date_gmt":"2013-01-14T23:29:30","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=1269"},"modified":"2013-01-14T23:30:00","modified_gmt":"2013-01-14T23:30:00","slug":"kaspersky-lab-identifica-operacao-outubro-vermelho","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/kaspersky-lab-identifica-operacao-outubro-vermelho\/","title":{"rendered":"Kaspersky Lab identifica opera\u00e7\u00e3o Outubro Vermelho."},"content":{"rendered":"

“Uma nova campanha de ciber-espionagem avan\u00e7ada e de grandes dimens\u00f5es, dirigida a organismos diplom\u00e1ticos e governos de todo o mundo.”<\/span><\/strong><\/em><\/p>\n

\"\"<\/a>A <\/strong>Kaspersky Lab publica hoje um relat\u00f3rio de investiga\u00e7\u00e3o<\/a> que identifica uma nova campanha de ciber-espionagem, dirigida a organiza\u00e7\u00f5es diplom\u00e1ticas e centros de investiga\u00e7\u00e3o cient\u00edfica e governamentais em v\u00e1rios pa\u00edses, que j\u00e1 opera h\u00e1 pelo menos cinco anos. Esta campanha dirige-se a pa\u00edses da Europa de Leste, a ex-rep\u00fablicas da antiga URSS e a pa\u00edses da \u00c1sia Central, embora entre as v\u00edtimas se contem tamb\u00e9m organismos da Europa Ocidental e Am\u00e9rica do Norte.<\/p>\n

O principal objectivo dos criadores era obter documenta\u00e7\u00e3o sens\u00edvel das organiza\u00e7\u00f5es comprometidas, que inclu\u00edssem dados de intelig\u00eancia geopol\u00edtica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos m\u00f3veis pessoais e equipamentos de rede.<\/p>\n

Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investiga\u00e7\u00e3o \u00e0 raiz de uma s\u00e9rie de ataques dirigidos contra redes inform\u00e1ticas internacionais de diferentes ag\u00eancias de servi\u00e7os diplom\u00e1ticos. Segundo o relat\u00f3rio de an\u00e1lise da Kaspersky Lab, a Opera\u00e7\u00e3o Outubro Vermelho, tamb\u00e9m chamada \u201cRocra\u201d pela sua sigla em ingl\u00eas, ainda continua activa e j\u00e1 opera desde 2007.<\/p>\n

Principais dados:<\/strong><\/p>\n

Rede de Ciber-espionagem Avan\u00e7ada Outubro Vermelho<\/strong>: Os ataques t\u00eam estado activos pelo menos desde 2007 e centram-se nas ag\u00eancias diplom\u00e1ticas e governamentais de diversos pa\u00edses de todo mundo, al\u00e9m de institui\u00e7\u00f5es de investiga\u00e7\u00e3o, grupos energ\u00e9ticos e nucleares, com\u00e9rcio e ind\u00fastrias aeroespaciais. Os autores do Outubro Vermelho desenharam o seu pr\u00f3prio malware, identificado como “Rocra”, que tem a sua pr\u00f3pria arquitectura modular \u00fanica composta por extens\u00f5es, m\u00f3dulos maliciosos que roubam informa\u00e7\u00e3o e Trojans backdoors.<\/p>\n

Os cibercriminosos usavam a informa\u00e7\u00e3o filtrada de redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista que \u00e9 utilizada quando os atacantes precisam de descobrir senhas ou frases para aceder aos sistemas adicionais.<\/p>\n

Para fazer com o controlo da rede de equipamentos infectados, criaram mais de 60 nomes de dom\u00ednio e localizaram-nos em v\u00e1rios servidores de hosting em diferentes pa\u00edses, sendo a maioria na Alemanha e R\u00fassia. A an\u00e1lise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxy (redes inform\u00e1ticas) para ocultar a localiza\u00e7\u00e3o do servidor de controlo principal.<\/p>\n

A informa\u00e7\u00e3o roubada nos sistemas atacados inclui documentos com as extens\u00f5es: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,\u00a0 cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. A extens\u00e3o \u201cacid\u201d, concretamente, aparece para se referir ao software classificado “Acid Cryptofiler<\/a>” que foi utilizado anteriormente por v\u00e1rias entidades, desde a Uni\u00e3o Europeia \u00e0 NATO.<\/p>\n

V\u00edtimas infectadas<\/strong><\/p>\n

Os cibercriminosos atacavam os equipamentos das v\u00edtimas atrav\u00e9s de uma campanha de phishing que inclu\u00eda um Trojan personalizado. O Trojan instalava o malware e infectava o sistema de email malicioso, incluindo exploits manipulados por vulnerabilidades de seguran\u00e7a dentro do Microsoft Office e Microsoft Excel.<\/p>\n

Os exploits dos documentos usados para lan\u00e7ar os mails de phishing foram criados por outros cibercriminosos e utilizados em diferentes ciber-ataques, como os dos activistas do T\u00edbet e os do sector energ\u00e9tico na \u00c1sia. A \u00fanica varia\u00e7\u00e3o introduzida no documento utilizado pelo Rocra foi um execut\u00e1vel integrado que os atacantes substitu\u00edram pelo seu pr\u00f3prio c\u00f3digo. Em particular, um dos comandos no Trojan muda o c\u00f3digo da p\u00e1gina de um equipamento infectado para 1251, c\u00f3digo requerido para representar fontes cir\u00edlicas.<\/p>\n

Organiza\u00e7\u00f5es e alvos<\/strong><\/p>\n

Os analistas da Kaspersky Lab usaram dois m\u00e9todos para analisar as v\u00edtimas afectadas. Para isso, utilizaram primeiro as estat\u00edsticas de detec\u00e7\u00e3o da Kaspersky Security Network (KSN), um servi\u00e7o de seguran\u00e7a baseado na nuvem que os produtos da Kaspersky utilizam para reportar telemetria e implementar protec\u00e7\u00e3o avan\u00e7ada para as amea\u00e7as atrav\u00e9s de listas negras e normas heur\u00edsticas.<\/p>\n

A KSN j\u00e1 estava a detectar o c\u00f3digo do exploit utilizado no malware desde 2011, o que permitiu \u00e0 equipa de analistas da Kaspersky Lab rastrear detec\u00e7\u00f5es relacionadas com o Rocra. O segundo m\u00e9todo utilizado pela equipa de investiga\u00e7\u00e3o foi criar um servidor sinkhole para poder monitorizar os equipamentos infectados ligando aos servidores C2 do Rocra. Os dados recolhidos por ambos os m\u00e9todos frutificaram em duas formas independentes de correlacionar e confirmar as suas conclus\u00f5es:<\/p>\n