Octubre Rojo: red de ciberespías, 5 años robando datos
Especialistas del laboratorio Kaspersky, descubrieron una red global de ciberespionaje. La campaña denominada "Octubre Rojo" viene robando datos clasificados en todo el mundo desde hace 5 años.
.png&container=blogger&gadget=a&rewriteMime=image%2F*)
El principal objetivo de los creadores era obtener documentación sensible de las organizaciones comprometidas, que incluyeran datos de inteligencia geopolítica, así como credenciales de acceso a sistemas clasificados de ordenadores, dispositivos móviles personales y equipos de red.
Si bien no identifica a las víctimas, sì destaca que son de "alto perfil" -entre agencias gubernamentales, embajadas, empresas de la industria espacial, petroleras, compañías gasíferas e instituciones científicas que se especializan en investigaciones de energía nuclear- y que hasta ahora no sabe cómo ha sido usada la información recopilada.
Al mismo tiempo, precisa que los intereses de los 'hackers' son bastante amplios e insiste en que el propósito principal de la operación será inteligencia geopolítica, para vender luego en el mercado negro los datos obtenidos.
Kaspersky empezó la cacería en octubre de 2012, siguiendo una serie de ataques contra redes informáticas de varias agencias diplomáticas que eran sus clientes. La investigación cuyos resultados se comenzaron a publicar este lunes, reveló que se trata de una operación de espionaje avanzada y muy bien coordinada. Los agresores usaron un software malicioso muy sofisticado. Aplicaron más de 1.000 subprogramas malignos, personalizados para cada víctima.
Cada uno de estos módulos maliciosos estaba diseñado para realizar varias tareas: extraer contraseñas y documentos tanto de computadoras y dispositivos individuales extraíbles, de servidores locales, robar los historiales de búsqueda, correos electrónicos y hacer capturas de pantalla, entre otras acciones. Uno de los módulos incluso podía encontrar y recuperar archivos eliminados de un USB adjunto. Otra serie de subprogramas detectaba cuándo la víctima conectaba un 'smartphone' a la computadora y robaba la lista de contactos, los SMS, el historial de búsqueda y de llamadas, los datos de la agenda electrónica y todos los documentos almacenados en el dispositivo.
Especialistas del laboratorio opinan que el virus fue creado por un grupo de 'hackers' independientes de nacionalidad rusa. Calculan que en total resultaron afectados 22 países, en primer lugar, de Europa del Este y Asia Central, pero se reportan daños también en USA, Israel, España, Irlanda, Suiza, Bélgica, Finlandia, Japón y Emiratos Árabes Unidos. Según advierten, actualmente el 'Octubre Rojo' sigue operativo.
Los ataques han estado activos por lo menos desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares, comercio y objetivos aeroespaciales. Los atacantes Octubre Rojo diseñaron su propio malware, identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras
Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.
Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del servidor de control principal.
La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente aparece para referirse al software clasificado "Acid Cryptofiler" utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.
Fuente: Urgente24 y Secure List
.png)
El principal objetivo de los creadores era obtener documentación sensible de las organizaciones comprometidas, que incluyeran datos de inteligencia geopolítica, así como credenciales de acceso a sistemas clasificados de ordenadores, dispositivos móviles personales y equipos de red.
Si bien no identifica a las víctimas, sì destaca que son de "alto perfil" -entre agencias gubernamentales, embajadas, empresas de la industria espacial, petroleras, compañías gasíferas e instituciones científicas que se especializan en investigaciones de energía nuclear- y que hasta ahora no sabe cómo ha sido usada la información recopilada.
Al mismo tiempo, precisa que los intereses de los 'hackers' son bastante amplios e insiste en que el propósito principal de la operación será inteligencia geopolítica, para vender luego en el mercado negro los datos obtenidos.
Kaspersky empezó la cacería en octubre de 2012, siguiendo una serie de ataques contra redes informáticas de varias agencias diplomáticas que eran sus clientes. La investigación cuyos resultados se comenzaron a publicar este lunes, reveló que se trata de una operación de espionaje avanzada y muy bien coordinada. Los agresores usaron un software malicioso muy sofisticado. Aplicaron más de 1.000 subprogramas malignos, personalizados para cada víctima.
Cada uno de estos módulos maliciosos estaba diseñado para realizar varias tareas: extraer contraseñas y documentos tanto de computadoras y dispositivos individuales extraíbles, de servidores locales, robar los historiales de búsqueda, correos electrónicos y hacer capturas de pantalla, entre otras acciones. Uno de los módulos incluso podía encontrar y recuperar archivos eliminados de un USB adjunto. Otra serie de subprogramas detectaba cuándo la víctima conectaba un 'smartphone' a la computadora y robaba la lista de contactos, los SMS, el historial de búsqueda y de llamadas, los datos de la agenda electrónica y todos los documentos almacenados en el dispositivo.
Especialistas del laboratorio opinan que el virus fue creado por un grupo de 'hackers' independientes de nacionalidad rusa. Calculan que en total resultaron afectados 22 países, en primer lugar, de Europa del Este y Asia Central, pero se reportan daños también en USA, Israel, España, Irlanda, Suiza, Bélgica, Finlandia, Japón y Emiratos Árabes Unidos. Según advierten, actualmente el 'Octubre Rojo' sigue operativo.
Los ataques han estado activos por lo menos desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares, comercio y objetivos aeroespaciales. Los atacantes Octubre Rojo diseñaron su propio malware, identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras
Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.
Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del servidor de control principal.
La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente aparece para referirse al software clasificado "Acid Cryptofiler" utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.
Fuente: Urgente24 y Secure List
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!