Ruska informatička tvrtka za antivirusnu zaštitu Kaspersky Lab provalila je naprednu cyber špijunsku operaciju zvanu Crveni oktobar (Red October), skraćeno Rocra, čiji su cilj bile vladine institucije, diplomatska predstavništa i nevladine udruge uglavnom u Rusiji, zemljama bivšeg SSSR-a te istočnoj Europi, ali su obuhvaćene i neke zemlje zapadne Europe, pa i SAD. Taj špijunski sustav radio je od 2007. godine i još uvijek je aktivan bez obzira na to što je otkriven.
Stručnjaci Kaspersky Laba, nakon višemjesečnog rada, otkrili su stotine zaraženih kompjutora, ali za sada nisu uspjeli otkriti izvor napada niti tko je zapravo korisnik informacija koje je prikupio taj špijunski program. Naime, u listopadu 2012. stručnjaci ruske tvrtke pokrenuli su istragu pošto su otkriveni upadi i curenje iz računalnih sustava nekih međunarodnih diplomatskih agencija.
U Kaspersky Labu uvjereni su da su špijunski modul radili ruski programeri. O sudjelovanju Rusa svjedoče i kodne riječi poput “zakladka” ili “proga”, ali i tipfeleri prilikom pisanja engleskih termina poput “massage” umjesto “ message” ili “successed” umjesto “succeeded”, dok su recimo “exploite”, koji su sastavni dio standardnih programa u Windowsima, radili kineski hakeri. Osim toga, jedino što su dečki iz Crvenog oktobra promijenili u dokumentu bila je ugrađena izvršna datoteka, koju su napadači zamijenili vlastitim kodom, odnosno mijenjali su u programu virusom Trojan kodnu stranu komandne sesije u 1251, što se radi kada se koriste ćirilični fontovi.
Hakeri su tako, primjerice, a kako bi zarazili nečiji sustav, ciljano slali e-mailove koji su bili prilagođeni s virusom Trojan.
Kako bi instalirao štetni softver te se proširio sustavom, poslani e-mail sadržavao je izvršne kodove namještene zbog sigurnosnih propusta unutar paketa Microsoft Office i Microsoft Excel.
No, napadači su uspjeli razviti prilagodljiv, ali štetan softver kojim su prisvajali podatke i “geopolitičke informacije” iz računalnih sustava i mrežne opreme u tvrtkama i institucijama. No, zanimljivo je da su mogli krasti podatke i iz mobitela - iPhonea, Nokija i Windows Mobilea.
Spretni hakeri iz Crvenog oktobra osmislili su vlastiti softver koji ima vlastitu modularnu arhitekturu sastavljenu od štetnih ekstenzija i modula za krađu informacija i špijunskih trojanaca, a usto su mogli prenijeti podatke i iz izbrisanih datoteka s prenosivih diskova.
Inače, “oktobarci” su koristili dobivene informacije iz zaraženih mreža kako bi ušli u nove sustave.
Naime, preko tih informacija dolazili su do “lozinki” ili pak fraza za pristup drugim sustavima.
Kako bi kontrolirali mrežu zaraženih kompjutora, koristili su više od 60 domenskih imena i nekoliko lokacija za “hosting server” uglavnom u Njemačkoj i Rusiji, a analiza je pokazala da je taj lanac servera zapravo bio posrednik koji skriva lokaciju glavnog kontrolnog servera.
Napadači su uspjeli stvoriti multifunkcionalnu platformu za napad koja je obuhvaćala nekoliko ekstenzija i štetnih datoteka namijenjenih brzom prilagođavanju konfiguracije različitih sustava i prikupljanju informacija iz zaraženih sustava, piše ruska agencija Lenta.
Informacije, kažu u Kaspersky Labu, ukradene iz zaraženih datoteka s ekstenzijama - .txt, .csv, .eml, .doc, .docx, .sxw, .odt, .vsd, .rtf, .pdf, .mbd, .xls, .rst, .iau, .cif, .wab, .key, .cer, .hse, .pgp, .gpg, .crt, .xia, .xis, .xiu, .xio, .xig, .acidcsa, .scidsca, .aciddsk, .acidpvr, .acidssa. Ekstenzija “acid” vjerojatno se odnosi na jedan od tajnih softvera koje koristi NATO - “Acid Cryptofiler”.
Informatičari Kasperskog, jedne od pet najjačih antivirusnih tvrtki na svijetu, koristili su dvije metode za analizu: vlastiti sigurnosni sustav KSN (Kasperski Security Network) koji je zasnovan na “cloudu”. Druga metoda je stvaranje tzv. sinkhole servera kako bi mogli pratiti povezivanje zaraženih strojeva sa C2 serverima štetnog servera Crvenog oktobra.
Sinkhole analizu radili su od početka sudenoga 2012. do početka siječnja 2013. te su u tom razdoblju registrirali više od 55 tisuća konekcija sa 250 zaraženih IP adresa registriranih u 39 zemalja.
Razrađena akcija iza koje stoji tajna služba?
Prema onome što je je tvrtka Kaspersky Lab objavila, operacija Crveni oktobar vrlo je ozbiljno, detaljno i stručno izvedena. Mogući autor tog softverskog programa i cjelopkupne višegodišnje operacije mogla bi biti neka tajna služba ili hakeri, čija je namjera prodaja prikupljenih informacija. Posljednjih nekoliko godina na djelu su virusni programi koji kradu podatke iz računala.
Oni su naslijedili ranije rasprostranjene virusne programe koji su uništavali podatke u računalima. Softverskom programu skupljača podataka pripada i ovaj otkriven u operaciji Crveni oktobar. Prema objavljenim podacima, mete ovog softverskog alata u najvećoj su mjeri veleposlanstva, vladini uredi i vojni objekti. Pojedini naši sugovornici smatraju kako nije neobično da je ova operacija ostala u tajnosti punih pet godina jer je moguće da su otkriveni tek nakon što se virus uspio probiti do željenih računala i IP adresa u veleposlanstvima ili vojnim objektima i počeo krasti podatke.
Današnji virusni programi u računala ulaze uglavnom preko maila i potom izvlače željene podatke, pretvore ih u enkripciju i potom šalju svom autoru. To se uglavnom radi preko sigurnosnih propusta u programima Word i Excel. Prema dostupnim podacima, ukradeni podaci slani su na proxies servere. Riječ je o prolaznim serverima koji su smješteni u Rusiji, Njemačkoj i Austriji. Podacima bi se tu dodatno pokušao zamesti trag, a potom su slani na glavne servere, tzv. motherships, u Njemačku i Rusiju.
Na tim serverima su podaci prikupljani, a zatim slani glavnom autoru projekta. Gdje je on i tko je zapravo, još nije poznato. Sumnja se da je iz Rusije. Na popisu zemalja u kojima je izvršen napad ovim virusnim softverom je i Hrvatska. Prema objavljenoj statistici, od ukupnog broja napada u razdoblju od 2. studenoga 2012. do 10. siječnja 2013., dva posto izvršeno je u Hrvatskoj. U tom razdoblju najviše napada je bilo u Švicarskoj, Kazahstanu i Grčkoj. (K. Žabec)
Najmoćnija otkrivena oružja cyber-rata
STUXNET
Kompjutorski virus koji je u lipnju 2010. nanio veliku štetu iranskoj infrastrukturi za obogaćivanje urana i cijeli proces usporio za par godina. Američki mediji objavili su kako je složeni virus razvijan dvije godine u izraelskim obavještajnim krugovima, a potom poslan u Iran gdje je uništio gotovo petinu infrastrukture za obogaćivanje urana. Virus se širio preko Microsoft Windows softvera i ciljao industrijsku opremu i softver Siemensa. Uključivao je dvije temeljne komponente - jedna je učinila da centrifuge za obogaćivanje urana potpuno izmaknu nadzoru, a druga je bila dizajnirana da taj proces na kontrolnim pločama sakrije od onih koji nadziru obogaćivanje urana.
DUQU
Kompjuterski virus koji je u listopadu 2011. otkriven u mađarskom laboratoriju za prevenciju industrijske špijunaže. Kako je utvrđeno, virus je napao mete u Iranu i Sudanu, a njegova tehnologija duguje puno onoj koja je razvijena u Stuxnetu.
FLAME
Virus koji koristi Microsoft Windows operativne sustave također je korišten za cyber industrijske sabotaže na Bliskom istoku. Otkriven je u svibnju 2012., a The Washington Post je u lipnju te godine objavio članak u kojem tvrdi kako su virus razvili CIA i izraelske službe.
MAHDI
Virus koji su iranske obavještajne službe razvile kao odgovor na udare na njihovu industrijsku infrastrukturu.
Prema izvješćima, više od dvije trećina zaraženih kompjutora nalazili su se u Izraelu.
Lovi geopolitičke informacije, lozinke, slike...
Virus koji je otkriven u listopadu 2012. (zbog toga je i dobio ime Crveni oktobar) i dalje je aktivan. Stručnjaci iz Kaspersky Laba nisu uspjeli detektirati kome šalje ukradene podatke, ali znaju što traži. Virus traga za važnim ‘geopolitičkim informacijama’, lozinkama i podacima za pristup računalnim mrežama s takvim podacima, ali i osobne podatke, poput slika i poruka s mobilnih uređaja.