Descubren una red global de ciberespionaje sin precedentes.
Kaspersky Lab ha publicado hoy un informe de investigación que identifica una nueva campaña de ciberespionaje dirigida contra organizaciones diplomáticas, centros de investigaciones científicas y organismos gubernamentales en varios países, que lleva operando desde hace al menos cinco años.
Esta campaña se dirige principalmente a países de Europa Oriental, las exrepúblicas de la antigua URSS y los países de Asia Central, aunque las víctimas se encuentran en todas partes de Europa Occidental y América del Norte.
El principal objetivo de los creadores era obtener documentación sensible de las organizaciones comprometidas, que incluyeran datos de inteligencia geopolítica, así como credenciales de acceso a sistemas clasificados de ordenadores, dispositivos móviles personales y equipos de red.
En octubre de 2012, el equipo de expertos de Kaspersky Lab inició una investigación, a raíz de una serie de ataques dirigidos contra redes informáticas internacionales de distintas agencias de servicios diplomáticos.
Según el informe de análisis de Kaspersky Lab, la Operación Octubre Rojo, también llamada “Rocra” por sus siglas en inglés, todavía sigue activa y lleva operando desde 2007.
Principales datos:
Red de Ciberespionaje Avanzado Octubre Rojo: Los ataques han estado activos por lo menos desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares, comercio y objetivos aeroespaciales.
Los atacantes Octubre Rojo diseñaron su propio malware, identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras
Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.
Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del servidor de control principal.
La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa.
La extensión “acid” concretamente aparece para referirse al software clasificado "Acid Cryptofiler" utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.