Video: Красная октябрьская кибер-атака, 3-минутный профиль (November 2024)
Kaspersky Lab släppte den första av en tvådelad rapport om "Red October", en skadlig skadlig attack som företaget anser är att angripa höga regeringssystem i hela Europa och kan specifikt rikta in klassificerade dokument. Enligt rapporten är de stulna uppgifterna i storleksordningen "hundratals Terabyte" och gick i stort sett oupptäckta i cirka fem år.
Röd oktober, eller "Rocra, " tar sitt namn från den månad då den först upptäcktes och den titulära tysta ryska ubåten som föreställaren Tom Clancy föreställde sig. Du kan om Red October och dess bakgrund på PC Mag.
Specifikt riktade attacker
Rapporten beskriver Röd oktober som ett "ramverk", som snabbt kan uppgraderas för att dra nytta av offrens svagheter. Angriparna började sitt angrepp med spearfiserande e-postmeddelanden eller infekterade dokument skräddarsydda för att tilltala sina mål. När de var infekterade skulle inkräktarna samla in information om systemet innan de installerade specifika moduler för att öka intrånget. Kaspersky räknade cirka 1 000 sådana unika filer som ingick i cirka 30 kategorier av moduler.
Detta är ett markant annorlunda tillvägagångssätt än Flame, eller annan skadlig skadlig programvara. Rapporten säger, "det finns en hög grad av interaktion mellan angriparna och offret - operationen drivs av den typ av konfiguration som offeret har, vilken typ av dokument användningen, installerad programvara, modersmål och så vidare."
"Jämfört med Flame och Gauss, som är mycket automatiserade cyberespionage-kampanjer, är Rocra mycket mer" personlig "och finjusterad för offren, " skriver Kaspersky.
Angriparna var lika dumma som de var metodiska och ändrade faktiskt taktik för att använda stulen information. "Information som skördas från infekterade nätverk återanvänds i senare attacker, " skriver Kaspersky. "Till exempel, stulna referenser sammanställdes i en lista och användes när angriparna behövde gissa lösenord och nätverksuppgifter på andra platser."
Håller dig utanför radaren
Denna typ av riktad attack gjorde det inte bara möjligt för dem som ligger bakom Röda oktober att följa mål på hög nivå, utan också hjälpte operationen att förbli oupptäckt i flera år. "Kombinationen av mycket skickliga, välfinansierade angripare och en begränsad distribution betyder i allmänhet att skadlig programvara kan förbli under radaren under en betydande tidsperiod, " säger Kaspersky seniorforskare Roel Schouwenberg till SecurityWatch . "Dessutom har vi inte sett användningen av några nolldagars sårbarheter, som återigen visar hur viktig patchning är."
Schouwenberg fortsatte med att säga att flera säkerhetslager kan hjälpa till att blockera sådana attacker. Han berättade för SecurityWatch , "det är därför som fördjupning i djupet är viktigt och tillvägagångssätt som standard förnekar, vitlistning och applikationskontroll spelar in. Attacker kan stoppas även utan exakt upptäckt."
Inte nödvändigtvis Nationernas arbete
Trots de höga målen betonar Kaspersky att det inte finns någon definitiv länk till en statligt sponsrad attack. Rapporten säger att även om informationen som är riktad kan vara värdefull för länder, "skulle sådan information kunna handlas i undergrunden och säljas till högstbjudande, vilket naturligtvis kan vara var som helst."
Skräddarsydda hot som Röd oktober är den typ av värsta fall som håller säkerhetsfolk på Pentagon uppe hela natten. Lyckligtvis innebär specificiteten som gjorde Röd oktober framgångsrik också att det inte är troligt att hota vanliga konsumenter som du och jag.
Tyvärr förändrar det inte det faktum att en ny och kraftfull spelare har verkat bakom kulisserna i flera år.
För mer från Max, följ honom på Twitter @wmaxeddy.
