Esta rede opera há pelo menos cinco anos em países da Europa de Leste, ex-repúblicas da antiga URSS e países da Ásia Central, embora entre as vítimas se contem também organismos da Europa Ocidental e da América do Norte, segundo explica a Kaspersky.
O principal objectivo dos seus criadores passava por obter documentação sensível das organizações comprometidas, «que incluísse dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis pessoais e equipamentos de rede».
Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investigação à raiz de uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, também chamada Rocra, sigla em inglês, ainda continua activa.
Para o controlo da rede de equipamentos infectados, os cibercriminosos criaram mais de 60 nomes de domínio e localizaram-nos em vários servidores de hosting em diferentes países, sendo a maioria na Alemanha e na Rússia. A análise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxypara ocultar a localização do servidor de controlo principal.
De acordo com a Kaspersky, a informação roubada nos sistemas atacados inclui documentos com diferentes extensões, entre elas, a “acid”, que aparece para se referir ao software classificado como “Acid Cryptofiler”, e que «foi utilizado anteriormente por várias entidades, desde a União Europeia à NATO», refere ainda a Kaspersky.
Os cibercriminosos atacavam os equipamentos das vítimas através de uma campanha dephishing que incluía um trojan personalizado. O trojan instalava o malware e infectava o sistema de e-mail malicioso, incluindo exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e do Microsoft Excel.
Pelo registo de dados deixado nos servidores C2 e pelos numerosos artefactos encontrados nos executáveis do malware, «existe uma importante evidência técnica que indica que os atacantes têm origens relacionados com o idioma russo». Por outro lado, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram identificados pelos analistas da Kaspersky Lab em análises a ataques de ciberespionagem prévios.
Nenhum comentário:
Postar um comentário