Red October – nytt skadligt program för cyberspionage

Kaspersky Lab har identifierat ett nytt skadligt program som riktar sig mot diplomatiska och statliga institutioner världen över. Det avancerade programmet används för att stjäla data och geopolitisk underrättelseinformation från datorsystem, mobiltelefoner och företags nätverksutrustning.

Kaspersky Lab publicerade idag en forskningsrapport med information om det skadliga programmet för cyberspionage – med namnet Red October – som riktar sig mot diplomatiska, statliga och forskningsvetenskapliga organisationer i flera länder. Programmet har existerat i åtminstone fem år och fokuserar främst på länder i Mellanöstern, före detta Sovjetunionen och Centralasien, även om offer kan finnas var som helst i världen. Det huvudsakliga målet med attackerna har varit att samla in känsliga dokument från de utsatta organisationerna, inklusive geopolitisk underrättelseinformation, behörighetsuppgifter för tillgång till hemligstämplade datorsystem samt data från personliga mobila enheter och nätverksutrustning.

I oktober 2012 påbörjade Kaspersky Lab en utredning efter en serie attacker mot datornätverk med internationella diplomatiska tjänstebyråer som måltavlor. Ett storskaligt nätverk för cyberspionage upptäcktes och analyserades. Enligt Kaspersky Labs forskningsrapport var programmet – Red October, med förkortningen Rocra – fortfarande aktivt i januari 2013.

Forskningsresultat
Programmet har varit aktivt sedan åtminstone 2007 och riktats mot diplomatiska och statliga organisationer, forskningsinstitutioner, samt olika grupper inom områdena energi, kärnkraft och rymdteknik. Programmet är egenutvecklat av personerna bakom attackerna och har en unik modulär arkitektur bestående av skadliga tillbyggnader, informationsstjälande moduler och trojaner.

Personerna bakom attackerna har ofta använt information som hämtats från infekterade nätverk för att få tillgång till ytterligare system. Exempelvis har stulna behörighetsuppgifter samlats i en lista som användes om man behövde gissa lösenord och fraser för access till andra system.

För att infektera ett system erhöll offret ett riktat email som innehåll en skräddarsydd trojan. För att kunna installera det skadliga programmet och infektera systemet utnyttjades sårbarheter i säkerhetssystemen hos Microsoft Office och Microsoft Excel.

Utöver vanliga arbetsdatorer kan det skadliga programmet stjäla data från mobila enheter, inklusive smarta mobiler (iPhone, Nokia och Windows Phone). Programmet kan även stjäla konfigurationsinformation från nätverksutrusning för företag, till exempel routrar och switchar, samt raderade filer från utbytbara hårddiskar.

Utsatta organisationer
För att utreda omfattningen av programmets skada har Kaspersky Lab använt statistik från sitt molnbaserade nätverk Kaspersky Security Network (KSN) som löpande samlar in data från företagets produkter. Företagets experter har även skapat ett så kallat sjunkhål som gör det möjligt att övervaka infekterade maskiner som ansluts till det skadliga programmets kontrollservrar.

Statistik från KSN visade att flera hundra maskiner världen över var infekterade. Till stor del hos ambassader, statliga nätverk och organisationer, forskningsinstitutioner och konsulat. Majoriteten av infekterade maskiner fanns in Östeuropa, men fall påträffades även i bland annat Nordamerika, Schweiz och Luxemburg.

Statistik från sjunkhålet visade att 55 000 anslutningar från 250 infekterade IP-adresser registrerades i 39 länder under perioden 2 november 2012 till 10 januari 2013. Flertalet infekterade IP-adresser kunde härledas till Schweiz, följt av Kazakstan och Grekland.

Vilka ligger bakom?
Spår i de kontrollservrar som har använts för attackerna samt i själva programmet ger starka tekniska bevis för att personerna bakom attackerna är av rysktalande ursprung. I samarbete med flera internationella organisationer och nationella IT-säkerhetsmyndigheter fortsätter Kaspersky Lab utredningen av Red October/Rocra genom att bistå med teknisk expertis.

Hur skyddar man sig?
Kaspersky Labs säkerhetsprodukter upptäckter, blockerar och oskadliggör det skadliga programmet Red October/Rocra som klassificeras som Backdoor.Win32.Sputnik.

Mer information
Det fullständiga forskningsrapporten om Red October/Rocra går att läsa här.

Mediekontakt: Bite Communications, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2010. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares – December 2011. Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2010.