Stuxnet, DuQu, Flame, Madi, Gauss ... Rdeči oktober!

Raziskovalci iz Kaspersky Laba so v sodelovanju z ameriškimi, romunskimi in beloruskimi CERT-i odkrili še eno ogromno prisluškovalno operacijo, s katero so neznani napadalci kompromitirali več tisoč računalnikov v Aziji in Evropi ter pet let neopaženo in neovirano kradli občutljive dokumente. Napade so poimenovali Rdeči oktober in po do sedaj zbranih podatkih niso povezani s Stuxnetom, DuQujem, Flamom, Madijem ali Gaussom, so pa primerljivo ali celo bolj dovršeni.

Preiskava se je začela lanskega oktobra, ko so nekatere stranke Kaspersky Lab opozorile na nenavadno vedenje svojih sistemov in odtekanje podatkov. Rezultati preiskave kažejo znano zgodbo. Neznani napadalci so že od leta 2007 vdirali v strateško pomembne sisteme, kar so počeli z uporabo APT. Dostop do sistemov so pridobili tako, da so zaposlenim poslali elektronsko sporočilo, ki je vsebovalo okuženo priponko. Teh je bilo več, vsaka pa je izrabila eno izmed treh sedaj že znanih ranljivosti (CVE-2009-3120, CVE-2010-3333 ali CVE-2012-0158). Pri tem so bili zelo precizni, saj je vsaka organizacija dobila posebej prilagojeno pošto, tako da je bilo kar največ verjetnost, da jo bo kdo izmed zaposlenih odprl, zlonamerni program pa je bil nadaljnje opremljen z identifikacijsko številko in posebej prilagojen za sistem v napadu. Lotevali so se osmih področij: vlada, diplomatska predstavništva, raziskovalne inštitucije, mednarodna trgovina, jedrski objekti, plinovodi in rafinerije (energetika), vojska in letalska industrija.

Napadi so bili zgoščeni na področju nekdanje Svojetske zveze, zahodne Azije in vzhodne Evrope, posamezni primerki pa so se našli tudi drugod v Evropi in v Severni Ameriki. Najbolj prizadete države so Rusija, Kazahstan, Azerbejdžan, Belgija, Indija, Afganistan, Armenija in Iran. Po podatkih Kaspersky Lab prijavljenih incidentov v Sloveniji ni bilo.

Ni znano, kdo stoji za Rdečim oktobrom. Analiza kode kaže, da so ranljivosti pripravili kitajski hekerji, zlonamerne module (payload) pa rusko govoreči programerji. Rdeči oktober si namreč izbere kodno tabelo, ki omogoča prikaz ciriličnih znakov. Napadalci so kradli praktično vse datoteke s končnicami, ki bi lahko nakazovale, da gre za dokumente ali sporočila. Rdeči oktober je z njimi komuniciral prek več sto posredniških strežnikov, večinoma v Nemčiji in Rusiji, ki so zakrivali lokacijo resničnih krmilno-nadzornih strežnikov (C&C).

Rdeči oktober deluje podobno in ima podobne namene kakor Flame. Ima zelo dovršeno kodo, ki mu je pet let omogočala neodkrito delovanje, in je hkrati specializiran za vsako napadeno organizacijo posebej. Ni indicev, da bi šlo za vladni projekt (kakor sta Flame ali Stuxnet) ali da bi bil z ostalimi črvi kakorkoli v sorodu; tudi avtorji so po kodi sodeč drugi. V tem pogledu se tudi razlikuje od kitajskih napadov Aurora, ki so bili dosti manj ciljani. Rdeči oktober se je organizacij loteval s kirurško natančnostjo.

Kaj pametnega se ob teh podatki ne da skleniti. Vedno bolj spoznavamo, da nas protivirusnih programi lahko zaščitijo pred navadno nesnago. Namensko napisana zlonamerna programska oprema, ki ne povzroča škode, ampak se trudi ostati neopažena, da bi čim dlje mogla krasti podatke, je precej trši oreh. Če jo napišejo veliki strokovnjaki ali gre celo za vladne projekte, smo praktično popolnoma nemočni. Edino, kar nas lahko do neke mere, a še zdaleč ne v celoti zaščiti, je neodpiranje neznanih priponk in izogibanje sumljivim spletnim stranem na internetu.