Red October – aktivt i över fem år
För ett år sedan upptäckte Kaspersky Lab ett skadligt program som kallas Red October, eller Rocra. Det hade främst riktat mot diplomatiska och statliga institutioner världen över. Man kunde snabbt slå fast att det rörde sig om ett avancerat spionverktyg som skulle samla in känsliga dokument från de utsatta organisationerna, inklusive geopolitisk underrättelseinformation, behörighetsuppgifter för tillgång till hemligstämplade datorsystem samt data från personliga mobila enheter och nätverksutrustning.
När man i våras presenterade sin analys av Red October kunde man dra ytterligare två slutsatser: programmet var fortfarande aktivt och hade varit det i över fem år.
"Programmet har varit aktivt sedan åtminstone 2007 och riktats mot diplomatiska och statliga organisationer, forskningsinstitutioner, samt olika grupper inom områdena energi, kärnkraft och rymdteknik. Programmet är egenutvecklat av personerna bakom attackerna och har en unik modulär arkitektur bestående av skadliga tillbyggnader, informationsstjälande moduler och trojaner", skrev Kaspersky Lab i sin sammanfattning.
Wiper och Flame – sabotage och avancerad informationsstöld
Det skadliga programmet som kallas Wiper attackerade datorsystem med anknytning till oljeanläggningar i västra Asien under 2012. FN-organet ITU, International Telecommunication Union, gav Kaspersky Lab i uppdrag att analysera och skapa en bild av programmet, och det ledde till att man fann ett ännu kraftfullare malware, spionprogrammet Flame.
Wiper har en mycket aggressiv och effektiv angreppsmetod, med ett destruktivt och unikt raderingsmönster kan ställa till stor skada för drabbade maskiner.
Flame är mer sofistikerat. Det beskrivs som en oerhört avancerad mjukvara för att angripa mål i flera olika länder. Kasperskys analys visade att detta är det största och mest komplexa attackverktyg man hittills upptäckts.
Flame har använts för cyberspionage och att stjäla data och värdefull information. Den stulna informationen har därefter skickats till en av Flames kommandoservrar.
Genom ett samarbete med it-säkerhetsföretagen Godaddy och OpenDNS har Kaspersky Lab genom tekniken ”sinkholing” lyckats ta kontroll över trafiken från de flesta skadliga domäner som används av Flames kommandoservrar. Därefter har man analyserat Flames egenskaper och bakgrund.
Bland annat kunde man se hur Flames kommandoservrar kopplades bort från internet kort efter att Kaspersky offentliggjort upptäckten av Flame. Innan dess hade de varit aktiva i fler år. Man har också hittat uppåt hundra domäner som har använts av Flame under de senaste fyra åren. Dessa servrar och domäner har registrerats genom falska identiteter och ombud i flera led, och registreringarna har skett på många platser runt om i världen.
Kommandoservrarna har också flyttats runt, bland annat till Hong Kong, Turkiet, Tyskland, Polen, Malaysia, Lettland, Storbritannien och Schweiz.
Främst verkar intrången med hjälp av Flame varit fokuserade på att komma över pdf- och Office-filer samt Autocad-ritningar.
Läs mer:
Vem behöver oroa sig för cyberspionage?
tinytw.se/cyberspionage
Cyberwarfare-bevakningen på Computerworld
tinytw.se/cyberwarfare
Nyheter och malware-analyser från Kaspersky Lab
tinytw.se/kaspersky
