Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Red October wrócił pod postacią cyberszpiegowskiej kampanii Cloud Atlas

Piotr Kupczyk 13-12-2014, 23:12

W przypadku kampanii, w które cyberprzestępcy dużo zainwestowali, nigdy nie można powiedzieć, że udało się je wyeliminować raz na zawsze. Zwykle stojąca za nimi grupa przechodzi do „podziemia” i zmienia swoje narzędzia, by po jakimś czasie wznowić operacje. Tak było i tym razem.

robot sprzątający

reklama


Pierwsze oznaki powrotu operacji Red October pojawiły się wraz z końcem 2013 r. pod postacią nietypowego szkodliwego oprogramowania Mevader. Mimo podobieństw wielu aspektów technicznych (np. konwencja nazw serwerów kontroli) trop okazał się zbyt słaby. Dopiero w sierpniu 2014 r. analitycy z Kaspersky Lab zauważyli coś, co wzbudziło w nich podejrzenie, że Red October wrócił na dobre.

Wtedy to zauważono ataki ukierunkowane realizowane przy użyciu nietypowego zestawu szkodliwego oprogramowania, gdzie podobieństwa do operacji Red October były oczywiste. Na początku uwagę ekspertów przykuła m.in. jedna z nazw plików wykorzystywanych przez atakujących do infekowania komputerów potencjalnych ofiar - Diplomatic Car for Sale.doc. Red October także próbował atakować, zachęcając do zakupu samochodów, którymi podróżowali dyplomaci. Co ciekawe, ataki te były skierowane przeciwko tym samym ofiarom.

Porównanie wiadomości phishingowychwykorzystywanych w kampaniach Cloud Atlas oraz Red October

Dalsza analiza tego tropu doprowadziła do odkrycia wielu podobieństw w technikach wykorzystywanych przez cyberprzestępców. Podobnie jak w przypadku operacji Red October, głównym celem Cloud Atlas jest Rosja, na drugim miejscu znajduje się natomiast Kazachstan – tak wynika z danych pochodzących z Kaspersky Security Network (KSN). Ponadto cele w tych dwóch państwach częściowo pokrywają się.

Szkodliwe programy wykorzystywane w kampaniach Cloud Atlas i Red October opierają się na podobnym schemacie – module ładującym i docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewnętrznym. Innym podobieństwem jest wykorzystywanie identycznych algorytmów kompresji w obydwóch operacjach (wersja zastosowana w Cloud Atlas została udoskonalona).

Z głową w chmurach – jak Cloud Atlas komunikuje się z serwerami kontroli

Narzędzia cyberprzestępcze wykorzystywane w kampanii Cloud Atlas stosują nietypowy mechanizm kontroli. Łączą się z określonymi zasobami znajdującymi się w serwisie CloudMe oferującym usługi chmurowe. To właśnie tam cyberprzestępcy umieszczają polecenia dla zainfekowanych maszyn i tam składowane są informacje wykradzione od ofiar. Co ważne, firma CloudMe nie jest w żaden sposób powiązana z grupą Cloud Atlas – osoby atakujące po prostu zakładają darmowe konta u tego dostawcy i wykorzystują je do kontrolowania swoich operacji.

Dlaczego reaktywacja nastąpiła po tak długim czasie?

Po publicznym zdemaskowaniu kampanii ataków ukierunkowanych grupy cyberprzestępców zachowują się w przewidywalny sposób. Większość atakujących po prostu przenosi serwery kontroli w inne miejsce, delikatnie zmienia szkodliwe oprogramowanie i dalej prowadzi swoje kampanie. Inne grupy, bardziej zaniepokojone zdemaskowaniem, ulegają „hibernacji” na całe miesiące lub lata. Niektóre nigdy nie wracają, a przynajmniej nie używają ponownie tych samych narzędzi i technik. Gdy jednak odkryta zostanie większa operacja cyberszpiegowska, atakujący nie likwidują wszystkiego całkowicie. Na pewien czas znikają z sieci, aby całkowicie zmienić swoje narzędzia, przegrupować się i powrócić z odnowionymi siłami. Tak – zdaniem ekspertów – stało się w przypadku kampanii Red October, która powróciła pod postacią operacji Cloud Atlas.

Szczegóły techniczne dotyczące operacji Cloud Atlas oraz jej podobieństw do kampanii Red October są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *