COMUNICADO DE IMPRENSA

Transcrição

1 COMUNICADO DE IMPRENSA Kaspersky Lab identifica operação Outubro Vermelho: uma nova campanha de ciber-espionagem avançada e de grandes dimensões, dirigida a organismos diplomáticos e governos de todo o mundo Registaram-se mais de ligações feitas a partir de 250 endereços IP infectados em 39 países. A maioria das ligações procedia da Suíça, seguida do Cazaquistão e da Grécia. Os atacantes criaram um malware único capaz de roubar informação de sistemas informáticos de organizações, equipamentos de rede empresariais e telefones móveis Os principais alvos desta campanha são países da Europa de Leste, antigas repúblicas da URSS e países da Ásia Central, embora tenham sido detectadas vítimas também na Europa Ocidental e América do Norte Lisboa, 14 de Janeiro de 2013 A Kaspersky Lab publica hoje um relatório de investigação que identifica uma nova campanha de ciber-espionagem, dirigida a organizações diplomáticas e centros de investigação científica e governamentais em vários países, que já opera há pelo menos cinco anos. Esta campanha dirige-se a países da Europa de Leste, a ex-repúblicas da antiga URSS e a países da Ásia Central, embora entre as vítimas se contem também organismos da Europa Ocidental e América do Norte. O principal objectivo dos criadores era obter documentação sensível das organizações comprometidas, que incluíssem dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis pessoais e equipamentos de rede. Página 1

2 Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investigação à raiz de uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, também chamada Rocra pela sua sigla em inglês, ainda continua activa e já opera desde Principais dados: Rede de Ciber-espionagem Avançada Outubro Vermelho: Os ataques têm estado activos pelo menos desde 2007 e centram-se nas agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, grupos energéticos e nucleares, comércio e indústrias aeroespaciais. Os autores do Outubro Vermelho desenharam o seu próprio malware, identificado como "Rocra", que tem a sua própria arquitectura modular única composta por extensões, módulos maliciosos que roubam informação e Trojans backdoors. Os cibercriminosos usavam a informação filtrada de redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista que é utilizada quando os atacantes precisam de descobrir senhas ou frases para aceder aos sistemas adicionais. Para fazer com o controlo da rede de equipamentos infectados, criaram mais de 60 nomes de domínio e localizaram-nos em vários servidores de hosting em diferentes países, sendo a maioria na Alemanha e Rússia. A análise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxy (redes informáticas) para ocultar a localização do servidor de controlo principal. A informação roubada nos sistemas atacados inclui documentos com as extensões: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. A extensão acid, concretamente, aparece para se referir ao software classificado "Acid Cryptofiler" que foi utilizado anteriormente por várias entidades, desde a União Europeia à NATO. Página 2

3 Vítimas infectadas Os cibercriminosos atacavam os equipamentos das vítimas através de uma campanha de phishing que incluía um Trojan personalizado. O Trojan instalava o malware e infectava o sistema de malicioso, incluindo exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel. Os exploits dos documentos usados para lançar os mails de phishing foram criados por outros cibercriminosos e utilizados em diferentes ciber-ataques, como os dos activistas do Tíbet e os do sector energético na Ásia. A única variação introduzida no documento utilizado pelo Rocra foi um executável integrado que os atacantes substituíram pelo seu próprio código. Em particular, um dos comandos no Trojan muda o código da página de um equipamento infectado para 1251, código requerido para representar fontes cirílicas. Organizações e alvos Os analistas da Kaspersky Lab usaram dois métodos para analisar as vítimas afectadas. Para isso, utilizaram primeiro as estatísticas de detecção da Kaspersky Security Network (KSN), um serviço de segurança baseado na nuvem que os produtos da Kaspersky utilizam para reportar telemetria e implementar protecção avançada para as ameaças através de listas negras e normas heurísticas. A KSN já estava a detectar o código do exploit utilizado no malware desde 2011, o que permitiu à equipa de analistas da Kaspersky Lab rastrear detecções relacionadas com o Rocra. O segundo método utilizado pela equipa de investigação foi criar um servidor sinkhole para poder monitorizar os equipamentos infectados ligando aos servidores C2 do Rocra. Os dados recolhidos por ambos os métodos frutificaram em duas formas independentes de correlacionar e confirmar as suas conclusões: Estatísticas KSN: várias centenas de sistemas únicos infectados foram detectadas através dos dados da KSN, com foco em múltiplas embaixadas, redes governamentais e organizações, institutos de investigação científica e consulados. Segundo os dados da KSN, a maioria das infecções foi identificada sobretudo na Europa de Leste, mas outras infecções foram também Página 3

4 encontradas na América do Norte e em países da Europa ocidental, como Suíça e Luxemburgo. Estatísticas Sinkhole: a análise do sinkhole da Kaspersky Lab foi levada a cabo entre Novembro de 2012 a Janeiro de Durante esse tempo, registaram-se mais de ligações a partir de 250 endereços IP infectados, registados em 39 países. A maioria das ligações IP infectadas procedia da Suíça, seguida do Cazaquistão e Grécia. Malware Rocra: arquitectura única e características Os atacantes criaram uma plataforma de ataque multifuncional que incluía diferentes extensões e ficheiros maliciosos desenhados para se adaptarem rapidamente à configuração de diferentes sistemas e extrair a inteligência dos equipamentos infectados. Esta plataforma é única do Rocra e não tinha sido identificada pela Kaspersky Lab em nenhuma campanha de ciber-espionagem prévia. Entre as suas características mais destacadas encontram-se: Módulo de ressurreição: um único módulo permite aos atacantes ressuscitar os equipamentos infectados. O módulo está embebido num plug-in dentro do Adobe Reader e na instalação do Microsoft Office e proporciona ao cibercriminoso uma fórmula para poder reaceder aos sistemas alvo do ataque, no caso de o corpo principal do malware ser detectado e eliminado ou se o sistema foi corrigido. Uma vez que os C2s estejam de novo operativos, o atacante envia um documento especializado (PDF ou Office) aos equipamentos das vítimas via e o malware é de novo activado. Módulos de encriptação de espionagem avançada: o principal objectivo dos módulos de espionagem é o roubo de informação. Inclui ficheiros de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado em organizações como a NATO, a União Europeia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011 para proteger informação sensível. Dispositivos móveis: além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iphone, Nokia e Windows Mobile). O malware também é capaz de roubar Página 4

5 informação sobre a configuração de equipamentos em redes corporativas como routers ou switches, bem como ficheiros apagados de discos rígidos externos. Identificação do atacante: com base no registo de dados nos servidores C2 e dos numerosos artefactos deixados nos executáveis do malware, existe uma importante evidência técnica que indica que os atacantes têm origens relacionados com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram identificados pelos analistas da Kaspersky Lab em análises a ataques de ciber-espionagem prévios. A Kaspersky Lab, em colaboração com organizações internacionais, agências da autoridade e CERTs (equipas de resposta a emergências informáticas) continua a sua investigação sobre o Rocra, facilitando a sua expertise técnica e os seus recursos para o desenvolvimento de processos de resolução e mitigação. A Kaspersky Lab gostaria de expressar seu agradecimento a: US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação. Os produtos da Kaspersky Lab detectam o malware Rocra, classificado como Backdoor.win32.sputnik, bloqueando-o e desactivando-o. Mais informação: yber_espionage_network_targeting_diplomatic_and_government_agencies Sobre a Kaspersky Lab A Kaspersky Lab é o maior fabricante de soluções de segurança endpoint. A companhia é uma dos quatro principais fabricantes mundiais de soluções de segurança informática para utilizador final*. Ao longo dos seus 15 anos de vida, a Kaspersky Lab tornou-se numa inovadora empresa de segurança de TI que oferece soluções eficazes de segurança digital para utilizadores, PMEs e empresas. Actualmente opera em quase 200 países e regiões de todo mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em * A companhia ocupa a quarta posição no Ranking Mundial da IDC de Fabricantes de Soluções de Segurança TI para Utilizador Final em A lista foi publicada no Relatório Mundial da IDC sobre Produtos de Segurança TI nas previsões de e o de Fabricantes 2010 em Dezembro O relatório classificava os diferentes fabricantes de acordo com as receitas obtidas pela venda de soluções de segurança para utilizador final em Página 5

6 Para mais informações, contacte: LANÇA PALAVRA Ana Margarida Paula Tel Fax Kaspersky Lab Iberia Vanessa González Directora de Comunicação Tel Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros técnicos ou editoriais ou omissões cometidos no texto. Página 6