La società presenta le conclusioni di un’attività d’indagine che ha condotto alla scoperta di una campagna di spionaggio che per cinque anni, dal 2007, ha preso di mira i governi e le organizzazioni di ricerca scientifica localizzati in diversi Paesi.
Kaspersky comunica i risultati della sua “Caccia ad Ottobre Rosso“. No, la società russa non si è impegnata in un remake
del celeberrimo film che vedeva, come protagonista principale, Sean
Connery. Anzi, l’azienda fondata e tutt’oggi diretta da Eugene Kaspersky
presenta le conclusioni di un’attività d’indagine che ha condotto alla
scoperta di una campagna di spionaggio ben lontana dalla finzione cinematografica.
Per cinque anni, dal 2007 ai giorni nostri, “Ottobre Rosso”
ha preso di mira i governi e le organizzazioni di ricerca scientifica
localizzati in diversi Paesi. Le nazioni che una volta appartevano
all’URSS sono state le più bersagliate, stando a quanto rilevato dai
tecnici di Kaspersky, insieme con i Paesi dell’Asia centrale. Non
mancano all’appello, però, anche diverse vittime nell’Europa Occidentale
e nel Nord America. L’obiettivo degli aggressori, sicuramente molto ben
organizzati, era quello di raccogliere documenti sensibili utilizzati
nei vari enti governativi e non, tra cui informazioni di intelligence
geopolitica, le credenziali per accedere ai sistemi informatici e dati
presenti sui dispositivi mobili e su strumenti di rete.
Le
verifiche poste in essere da Kaspersky sono iniziate nel mese di ottobre
2012 (da qui l’appellativo dell’operazione) a seguito dei ripetuti
attacchi informatici lamentati delle agenzie internazionali di servizi
diplomatici.
Stando all’analisi pubblicata dai ricercatori di
Kaspersky, l’attività degli aggressori starebbe ancora proseguendo: i
criminali informatici hanno “confezionato” un malware – “Rocra” –
caratterizzato da un’architettura modulare e composto, tra l’altro, da
strumenti per il furto delle informazioni e per l’installazione di
trojan.
Per controllare la rete di computer infetti, gli
aggressori hanno creato più di 60 domini e punti di hosting in diversi
paesi, la maggior parte dislocati in Germania e Russia. Le analisi di
Kaspersky Lab sulle infrastrutture di “comando & controllo” (i
server utilizzati per impartire i comandi ai sistemi infetti) di “Rocra”
evidenziano come la “catena di macchine” impiegata sia stata adoperata
per mascherare la posizione del server principale.
Decine le
tipologie di file che il malware “Rocra” ha saccheggiato e che ancora
oggi è capace di sottrarre: file di testo, documenti elaborati con le
varie suite, file PDF, database, file utilizzati per cifrare documenti
(viene posta particolare attenzione agli elementi che contengono le
chiavi private utili per decodificare documenti crittografati). Tra le
tipologie di file anche quelli prodotti con “Acid Cryptofiler“,
un software utilizzato da diversi enti (Unione Europea, Commissione
Europea, Parlamento Europeo e NATO in primis) per cifrare file e volumi
utilizzando la crittografica asimmetrica (o a chiave pubblica).
Per
l’infezione dei sistemi vengono utilizzate campagne di phishing
perpetrate via e-mail e viene fatta leva sulle vulnerabilità irrisolte
(mancata installazione delle patch) di Microsoft Office.
Secondo
quanto rivelato da Kaspersky, i criminali hanno creato una piattaforma
di attacco multifunzionale, che include diverse estensioni e file nocivi
progettati per adattarsi rapidamente alle configurazioni dei diversi
sistemi e dei gruppi di intelligence delle macchine infette. La
piattaforma è stata realizzata appositamente per “Rocra” dal momento che
il codice impiegato è per il momento un “unicum”, mai identificato in
precedenti campagne di spionaggio informatico.
Uno speciale “modulo
resurrezione” viene “agganciato” come plugin all’interno delle
installazioni di Adobe Reader e di Microsoft Office: in questo modo, i
criminali informatici si tengono aperta una porta nel caso in cui il
malware principale dovesse essere scoperto e rimosso.
