Computerworld News Service: Siden 2007 har et it-spionagenetværk været i gang med at stjæle fortrolige data fra det private erhvervsliv, statslige myndigheder og forskningsinstitutioner i Østeuropa, de tidligere sovjetrepublikker og centralasiatiske lande, rapporterer et it-sikkerhedsfirma.
Netværket, der kaldes Red October, stjæler også følsomme oplysninger fra organisationer i Vesteuropa og USA, men det har fokus på de andre regioner, oplyser Kaspersky Lab.
De fleste mål er diplomatiske og statslige organisationer, videnskabelige forskningsinstitutioner, kernekraft og anden energiforsyning, private erhvervsorganisationer og selskaber i luftfartsindustrien.
Måske står en nationalstat bag
Kaspersky er ikke klar over, om spionagenetværket er statssponsoreret eller drevet af en kriminel organisation, der indsamler og sælger fortrolige oplysninger til højestbydende.
"Det mest sandsynlige scenarie er, at slutkunden er en nationalstat," uddyber Roel Schouwenberg, der er senioranalytiker hos Kaspersky Lab.
Kaspersky opdagede netværket sidste år i forbindelse med en undersøgelse af en række angreb mod diplomattjenesters computernetværk.
Angriberne, som menes at være russisktalende, anvender malware med en unik modulopbygget arkitektur med en række udvidelser, kode til datatyveri samt bagdøre.
Denne malware har navnet Rocra, der er en forkortelse af Red October.
Det avancerede it-spionagenetværket består af systemer fra hundredevis af ofre på tværs af 69 virksomheder, oplyser Schouwenberg.
"Der er sandsynligvis flere ofre, som vi på nuværende tidspunkt ikke kender til."
Har ramt mange systemer
Computersystemer er faldet som dominobrikker, i takt med at oplysninger stjålet fra ét er blevet brugt til at trænge ind i det næste.
Stjålne brugeroplysninger er for eksempel blevet samlet i en liste og herefter brugt til at gætte adgangskoder, der har givet adgang til yderligere systemer.
Angriberne har oprettet flere end 60 domænenavne og anvender adskillige servere i forskellige lande med størstedelen i Tyskland og Rusland.
De fleste af disse servere bruges som proxyer med det formål at skjule den centrale kommando og kontrol-server.
De stjålne data består af mange forskellige slags filer.
Et af målene er filer med endelsen acid, hvilket er dokumenter, der er krypteret med fortrolig software ved navn Acid Cryptofiler. EU og NATO benytter denne krypteringssoftware.
"Tidligere målrettede angreb, der er blevet analyseret og offentliggjort, er ikke gået efter at stjæle filer krypteret med Acid Cryptofiler," påpeger Schouwenberg.
Oversat af Thomas Bøndergaard
