Spionaggio informatico, individuata l’operazione 'Ottobre Rosso
Spionaggio informatico, individuata l’operazione 'Ottobre Rosso'

Scoperta dai Kaspersky Lab un’avanzata campagna per l'attacco informatico verso istituzioni diplomatiche e governi di tutto il mondo

Scritto da: Redazione Data: 16 gennaio 2013
Pagina 1 di 1

Porta il nome di un celebre film, ma non siamo purtroppo in presenza di finzione cinematografica. Kaspersky Lab ha pubblicato una ricerca relativa ad una campagna di cyber-spionaggio, i cui obiettivi sono stati per almeno cinque anni i governi e le organizzazioni di ricerca scientifica localizzati in diversi paesi. Questa campagna ha preso di mira in particolar modo alcuni paesi quali quelli appartenenti all’ex URSS e i paesi dell’Asia Centrale, anche se vittime sono state localizzate anche in Europa Occidentale e nel Nord America. L’obiettivo degli aggressori era quello di raccogliere documenti sensibili utilizzati nelle organizzazioni, tra cui informazioni di intelligence geopolitica, le credenziali per accedere ai sistemi informatici e dati presenti sui dispositivi personali mobile e su strumenti di rete.

Ad ottobre 2012 il team di esperti di Kaspersky Lab  ha avviato un’inchiesta a seguito di una serie di attacchi effettuati contro le reti informatiche delle agenzie internazionali di servizi diplomatici. Durante l’indagine sono emerse attività di spionaggio informatico su larga scala. Secondo il rapporto di analisi di Kaspersky Lab, l’Operazione Ottobre Rosso, chiamata “Rocra”, ancora attiva a gennaio 2013, è una campagna che resiste dal 2007

Gli aggressori sono attivi almeno dal 2007 e si sono concentrati soprattutto sulle agenzie diplomatiche e governative di diversi paesi oltre ad istituti di ricerca, società operanti nel settore dell’energia e del nucleare, obiettivi commerciali e aerospaziali. Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche “Rocra”, con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan.

Gli aggressori utilizzano poi le informazioni sottratte per entrare nei sistemi. Per esempio, le credenziali rubate sono state riportate in un elenco e utilizzate dai criminali per individuare le password per accedere ai sistemi.

Per controllare la rete di computer infetti, gli aggressori hanno creato più di 60 domini e punti di hosting in diversi paesi, la maggior parte in Germania e Russia. Le analisi di Kaspersky Lab sulle infrastrutture di comando & controllo (C2) di Rocra dimostrano che la catena di server proxie è servita per nascondere la posizione del server di controllo della “macchina madre”.

Le informazioni rubate dai sistemi infetti comprendono documenti con estensione: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l’estensione “acid*” fa riferimento al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti come l'Unione Europea  e la NATO.

Segue in basso  ▼

Per infettare i sistemi gli aggressori inviano un’e-mail di spear-phishing ad una vittima, con incluso anche un Trojan dropper personalizzato. Per installare il malware e infettare i sistemi, le e-mail nocive integrano exploit progettati per colpire le vulnerabilità presenti in Microsoft Office e Microsoft Excel. Gli exploit presenti nei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri criminali e impiegati durante attacchi informatici diversi, tra cui quelli portati avanti dagli attivisti tibetani o quelli che hanno colpito obiettivi militari ed energetici in Asia.

L’unica cosa che è stata cambiata nei documenti utilizzati da Rocra era il file eseguibile integrato, che i criminali hanno sostituito con il proprio codice nocivo. In particolare, uno dei comandi nel Trojan dropper forzava il sistema operativo ad usare il codepage 1251, codepage necessario per manipolare e visualizzare stringhe contenenti caratteri dell’alfabeto cirillico.

Il rapporto completo sulla ricerca di Rocra, condotta dagli esperti di Kaspersky Lab sulla metodologia di attacco, è disponibile in inglese a questo indirizzo.

Ti è piaciuto l'articolo? Ricevine altri comodamente via mail
GALLERIA FOTOGRAFICA
Articoli consigliati

Ottenere le dimensioni di una TV

Un praticissimo wizard per avere subito un'idea di quali possano essere le dimensioni di una TV. Comodo per chi vuole conoscere le misure di una TV a partire dalla diagonale.

Speciale Prestiti Online

Quali sono le migliori offerte? Cosa bisogna sapere prima di richiedere un prestito personale? Cerchiamo di spiegare come stanno le cose ...

Speciale Conti Correnti

Quali conti online scegliere? Puri o multicanale? Abbiamo identificato le migliori condizioni offerte dalle principali banche ...

Test velocita' ADSL

Esegui gratuitamente i migliori test per monitorare la velocità della tua connessione ADSL

Guadagnare con Internet

Guadagnare in Internet ? E' possibile. Con un po' di pazienza e fortuna, si possono avere apprezzabili risultati ..
TOP 10 articoli #08/19
Sitemap