Operação é dirigida a orgãos diplomáticos e governamentais em todo o mundo, inclusive brasileiro, e visava o roubo de dados de inteligência geopolítica e a infecção de sistemas, dispositivos móveis e redes empresariais

São Paulo, 14 de Janeiro de 2013 – A Kaspersky Lab anuncia a descoberta de uma nova campanha de ciberespionagem dirigida a órgãos diplomáticos e centros de investigação científica e governamentais em operação há pelo menos cinco anos. Os alvos são países do leste europeu, ex-membros da União Soviética e países da Ásia Central, embora entre as vítimas se encontre também órgãos da Europa Ocidental, América do Norte, Brasil e Chile.

Em Outubro de 2012, a equipe de analistas da Kaspersky Lab iniciou uma investigação com base em uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório da empresa, a Operação Outubro Vermelho, também chamada “Rocra” pela sua sigla em inglês, foi iniciada em 2007 e ainda está ativa nos dias de hoje.

Foram uitlizadas duas técnicas para a identificação do malware: a Kaspersky Security Network (KSN), rede de proteção baseada na nuvem presente em todos os produtos da empresa, que permitiu confirmar a infecção em centenas de embaixadas, institutos de investigação científica, consulados e sistemas governamentais e organizacionais foram infectados; e a criação de um servidor sinkhole, que permitiu determinar 55 mil ligações (de 250 endereços IPs em 39 países diferentes) realizadas no período entre novembro de 2012 e janeiro de 2013. A KSN detectava o código do exploit utilizado na operação Rocra desde 2011.

O principal objectivo dos criadores é obter documentos privados das organizações comprometidas, como dados de inteligência geopolítica, bem como credenciais de acesso a sistemas restritos, dispositivos móveis pessoais e equipamentos de rede. Os cibercriminosos usavam a informação coletadas nas redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista, que era utilizada para adivinhar senhas ou frases de acesso em outros sitemas críticos.

Os ataques concentram-se em agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, empresas de energia nuclear, comércio e indústrias aeroespaciais. A disseminação da campanha de ciberespiopnagem era realizada por meio de mensagens de phishing com um trojan personalizado, que era o responsável pela infecção do sistema de email malicioso e incluía exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.

Os criadores do Outubro Vermelho desenvolveram seu próprio malware, identificado como "Rocra", que contava com uma arquitetura modular própria, composta por extensões, módulos maliciosos e trojans backdoors. A plataforma de ataque era multifuncional e utilizava diferentes extensões e arquivos maliciosos para se configurar adequadamente aos diferentes sistemas-alvos e extrair as informações dos equipamentos infectados. A plataforma do Rocra ainda nao havia sido identificada em nenhuma campanha de ciberespionagem anterior.

Entre as principais descobertas, destaque-se:

· Módulo de ressurreição: embutido em um plug-in dentro do Adobe Reader e na instalação do Microsoft Office, possibilita que o malware se reinstale, caso o corpo principal da infecção fosse eliminado ou o sistema fosse corrigido.

· Módulos de encriptação de espionagem avançada: o o principal objetivo dos módulos de espionagem eramo roubo de informação. Incluindo arquivos de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado para proteger informação sensível em organizações como a OTAN, a União Européia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011.

· Dispositivos móveis: além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile), incluindo informações de configuração de redes corporativas, como routers ou switches, bem como arquivos apagados de discos rígidos externos.

· Identificação do atacante: com base no registro de dados nos servidores C&C e dos numerosos “artefatos” deixados nos executáveis do malware, existe uma forte evidência indicando que os atacantes têm origens relacionadas com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram encontrados em ataques de ciber-espionagem analisados pela Kaspersky Lab anteriomente.

A Kaspersky Lab, em colaboração com organizações internacionais, autoridades e CERTs (equipes de resposta a incidentes de segurança), continuará sua investigação sobre o Rocra. A empresa agradece ainda a US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação.

Os produtos da Kaspersky Lab detectam o malware Rocra como Backdoor.win32.sputnik, bloqueando-o e desativando-o.

Mais informaçãos sobre a campanha Outubro Vermelho , acesse http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies.

Sobre a Kaspersky Lab

A Kaspersky Lab é o maior fornecedor privado de soluções de proteção de endpoint do mundo. A empresa está classificada entre os quatro principais fornecedores de soluções de segurança para usuários de endpoint do mundo*. Durante todos os seus 15 anos de história, a Kaspersky Lab continua sendo inovadora em segurança de TI e fornece soluções de segurança digital eficientes para consumidores, pequenas e médias empresas e grandes corporações. Atualmente, a empresa opera em quase 200 países e territórios ao redor do globo, fornecendo proteção para mais de 300 milhões de usuários em todo o mundo. Saiba mais em http://brazil.kaspersky.com.

*A empresa ficou na quarta posição na classificação da IDC de Worldwide Endpoint Security Revenue by Vendor (Receita em segurança de endpoint no mundo por fornecedor), 2011. Essa classificação foi publicada no relatório da IDC "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (Previsão de 2012-2016 de segurança de endpoint em todo o mundo e participações de fornecedores em 2011) (IDC #235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com as receitas de vendas de soluções de segurança de endpoint em 2011.