home סייבר אבטחת סייבר התקפות הסייבר של "אוקטובר האדום"

התקפות הסייבר של "אוקטובר האדום"

Apr 26, 2013

This post is also available in: English (אנגלית)

חברת אבטחת המידע Kaspersky Lab עוקבת אחר קמפיין ריגול סייבר חמקמק המכוון נגד ארגונים דיפלומטיים וממשלתיים וארגוני מחקר מדעי במספר מדינות במשך לפחות חמש שנים. המיקוד העיקרי של הקמפיין הוא במדינות מזרח אירופה, רפובליקות ברית המועצות לשעבר ומדינות באסיה המרכזית, אף כי ניתן למצוא קורבנות גם במקומות אחרים, כולל מערב אירופה וצפון אמריקה. היעד העיקרי של התוקפים היה לאסוף מסמכים רגישים מהארגונים שנפגעו, שכללו מודיעין גיאופוליטי, הרשאות גישה למערכות מחשבים מסווגות, ומידע מתוך התקנים אישיים ניידים וציוד רשת.

באוקטובר 2012 צוות מומחים של Kaspersky Lab החל בחקירה בעקבות סדרת התקפות נגד רשתות מחשבים שכוונו נגד סוכנויות בינלאומיות של שירותים דיפלומטיים. במהלך החקירה נתגלתה רשת נרחבת של ריגול סייבר.

לפי דו"ח הניתוח של Kaspersky Lab, פעולת Red October, או בקיצור "Rocra" הייתה עדיין פעילה בינואר 2013, והיוותה קמפיין מתמשך שהחל עוד ב-2007.

התוקפים היו פעילים מאז 2007 והתמקדו בסוכנויות דיפלומטיות וממשלתיות של מספר מדינות סביב העולם, בנוסף למכוני מחקר, חברות אנרגיה וגרעין, ומטרות מסחריות ותעופתיות. תוקפי ה-Red October תכננו את התוכנה הזדונית משלהם, שזוהתה כ""Rocra, בעל ארכיטקטורה מודולארית ייחודית המורכבת מסיומות זדוניות, מודולי גניבת מידע וסוסים טרויאניים.

התוקפים השתמשו לעתים קרובות ברשתות שנפגעו כאמצעי לכניסה למערכות נוספות. למשל, אמצעי זיהוי גנובים קובצו ברשימה ונעשה בהם שימוש כאשר התוקפים הצטרכו לנחש סיסמאות או מחרוזות לצורך גישה למערכות נוספות.

לצורך שליטה על המכונות שנפגעו, התוקפים יצרו מעל 60 שמות דומיין ומספר מיקומי אירוח שרתים בארצות שונות, ברובן בגרמניה ורוסיה. ניתוח מבנה השליטה והבקרה (C2) של תשתית Rocra אשר נערך על ידי Kaspersky Lab מצביע על כך ששרשרת השרתים שימשה למעשה כמחשבי ביניים מתווכים (proxies) במטרה להסתיר את מיקומו של "שרת האם" השולט.

המידע שנגנב מהמערכות שנפגעו כולל מסמכים בעלי הסיומות הבאות: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. במיוחד, נראה כי הסיומות "acid*" מתייחסות לתוכנה המסווגת "Acid Cryptofiler" הנמצאת בשימוש מספר גופים, מהאיוד האירופי ועד נאט"ו. .