Octubre Rojo, campaña de espionaje

Kaspersky Lab identifica la operación “Octubre Rojo”, una avanzada campaña de espionaje cibernético dirigida a instituciones diplomáticas y gubernamentales en todo el mundo

Kaspersky Lab publicó hoy un nuevo informe de investigación que identifica una escurridiza campaña de espionaje cibernético que ha tenido como blanco organizaciones diplomáticas, gubernamentales y de investigación científica en varios países durante por lo menos cinco años. La campaña afecta sobre todo a países en Europa Oriental, las repúblicas de la ex URSS y países de Asia Central, pero también se pueden encontrar víctimas en todas partes, incluyendo Europa Occidental al igual que Norte y Sur América. El principal objetivo de los atacantes es recopilar documentos sensitivos de las organizaciones afectadas, incluyendo información de inteligencia geopolítica, credenciales para ingresar en sistemas informáticos secretos y datos de dispositivos móviles y equipos de red.

En octubre de 2012 el equipo de expertos de Kaspersky Lab inició una investigación de una serie de ataques realizados contra redes informáticas de agencias diplomáticas internacionales. Durante la investigación se descubrió y analizó una red de espionaje cibernético de gran escala. Según el informe del análisis realizado por Kaspersky Lab, la operación Octubre Rojo (Red October), abreviada “Rocra” seguía activa en enero de 2013 y había estado funcionando sin interrupciones desde el 2007.


Principales descubrimientos de la investigación

La red avanzada de espionaje cibernético de Octubre Rojo: Los atacantes han estado activos desde por lo menos el 2007 y se han concentrado en agencias diplomáticas y gubernamentales de varios países en todo el mundo, pero también han afectado a instituciones de investigación, grupos energéticos y nucleares, empresas comerciales y agencias aeroespaciales. Los atacantes de Octubre Rojo diseñaron su propio malware, identificado como “Rocra”, de una peculiar arquitectura modular consistente en extensiones maliciosas, módulos de robo de información y troyanos-backdoors.

Con frecuencia los atacantes usaban información filtrada de las redes atacadas como una forma de obtener acceso a otros sistemas. Por ejemplo, las credenciales robadas se ponían en una lista que los atacantes usaban para adivinar contraseñas de acceso a sistemas adicionales.

Para controlar la red de equipos infectados, los atacantes crearon más de 60 nombres de dominio y varios servidores de hosting en diferentes países, la mayoría en Alemania y Rusia. El análisis que hizo Kaspersky Lab del centro de administración (C2) de la infraestructura muestra que la cadena de servidores funcionaba como proxies que ocultaban la ubicación real del servidor "madre” central.

La información robada de los sistemas infectados incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particular, las extensiones “acid*” parecen pertenecer al software clasificado “Acid Cryptofiler”, usado por varias entidades que van desde la Unión Europea hasta la NATO.


Infectando víctimas

Para infectar los sistemas, los atacantes envían a la víctima un mensaje “spear-phishing” que incluye un dropper troyano hecho a la medida del destinatario. Para instalar el malware e infectar el sistema, el mensaje malicioso incluye exploits para vulnerabilidades de Microsoft Office y Microsoft Excel. Los exploits presentes en los documentos usados en los mensajes spear-phishing fueron creados por otros atacantes y se usaron durante diferentes ataques cibernéticos, entre ellos los lanzados contra activistas tibetanos y otros blancos militares y del sector energético en Asia. La única modificación introducida en el documento usado por Rocra es el ejecutable incrustado, que los atacantes reemplazaron por un código propio. Merece la pena destacar que una de las instrucciones del dropper troyano cambiaba el número de la página de código predeterminada de la sesión de entrada de comandos a 1251, que es la necesaria para usar fuentes cirílicas.