Computerworld News Service: Sikkerhedsfirmaet Kaspersky Lab har opdaget et hidtil ukendt og avanceret it-spionagenetværk, der har stjålet store mængder data fra blandt andet diplomattjenester og statslige myndigheder i hovedsageligt de tidligere sovjetrepublikker, Østeuropa og Centralasien siden 2007.
Efter en bemærkelsesværdig succes i løbet af de sidste to år med at afdække en række lyssky cybervåben er den nye opdagelse af it-spionagenetværket Red October (der forkortes Rocra) endnu et flot resultatet for russiske Kaspersky Lab.
Valget af navn efter Tom Clancys koldkrigsroman fra Reagan-æraen, Jagten på "Røde Oktober", (hvori Røde Oktober er navnet på en russisk atomubåd) er et dramatisk greb, der dog ser ud til at have sin berettigelse, når man gennemgår Kasperskys analyser af den nyopdagede trussel.
Red October er modulopbygget (30 moduler i alt), temmelig kompleks (1.000 filer med 115 oprettelsesdatoer fordelt på lige over to år), går efter flere forskellige miljøer (adskillige mobilplatforme udover pc'er) og havde indtil denne uge et kommando og kontrol-netværk med 60 domæner. Det er alt sammen noget, der kraftigt indikerer, at der er tale om et statssponsoreret cybervåben og ikke blot resultatet af organiseret kriminalitet.
Desuden har it-spionagenetværket undgået at blive opdaget i hvert fald siden 2007, hvilket betyder, at dets kode ikke har været relateret til kommerciel malware, for da ville antivirusprogrammerne have fundet det for længe siden.
En anden klar parallel til koldkrigsspændinger har at gøre med de data, spionagenetværket er gået efter. Det inkluderer en lang række forskellige typer af data heriblandt en type ved navn Acid Cryptofiler, hvilket er et krypteret format, som ifølge Kaspersky har været anvendt af EU og NATO siden blot 2011.
Målrettede phishing-angreb
Malwaren nåede frem til sine mål ved hjælp af målrettede phishing-angreb via e-mail og udnyttede kendte sårbarheder i Microsoft Office. Brugeroplysninger stjålet af netværket blev anvendt i efterfølgende angreb.
De cirka 300 opdagede ofre dækker en bred vifte af lande heriblandt i Nordamerika og Europa men hovedsageligt Østeuropa og de tidligere sovjetrepublikker - 35 inficeringer er fundet alene i Rusland.
Så vildt er netværket
Der er dog også fundet tegn på hastværk (eller tilpasningsevne afhængig af, hvordan man ser på det). Red Octobers operatører har for eksempel genbrugt kinesisk angrebskode.
Da denne angrebskode i forvejen var offentligt kendt, har dette involveret en vis risiko for opdagelse. Så det må antages, at bagmændene fra tid til anden har haft lidt for travlt.
Udover it-spionagenetværkets størrelse og mål er der også andet, der indikerer dets høje kompleksitet.
For eksempel dets bemærkelsesværdige evne til at genvinde kontrollen over inficerede maskiner ved hjælp af blandt andet skadeligt tilpassede Adobe Reader- eller Microsoft Office-dokumenter, i det tilfælde at den oprindelige infektion opdages og fjernes eller de oprindelige kommando og kontrol-servere uventet overtages eller lukkes ned.
Hvis det ligner et cybervåben, så er det som regel et cybervåben. Men hvem kan tænkes at stå bag Red October og hvad er det politiske motiv?
Kaspersky giver nogle få hentydninger såsom malwarens navn i firmaets antivirus-database, Backdoor.Win32.Sputnik, og selvfølgelig navnet på den overordnede it-spionagekampagne, Red October (det siger en hel del, at der som metafor bruges en russisk ubåd, der ikke parerer ordre).
Der er også noget, der peger på, at Red Octobers udviklere er russisksprogede.
Hvem end, der udviklede denne software, har et ønske om at holde sig ajourført på længere sigt med hensyn til militære og statslige efterretninger fra lande, der tidligere var allieret med Rusland, samt Ruslands nye allierede verden over.
"Igen rejser opdagelsen af denne spionagekampagne spørgsmålet om, hvad der ellers findes derude af trusler, som vi ikke kender til," kommenterer Jarno Limnell fra den finske sikkerhedsspecialist Stonesoft.
"Red October er også et godt eksempel på, hvad der sker af lyssky aktiviteter i den digitale verden. Det fører tankerne hen på, hvordan spioner arbejdede under den kolde krig. Der er her tale om avanceret spionage, der har infiltreret sikkerhedssystemer uden at blive opdaget og herefter i det skjulte indsamlet og sendt værdifulde efterretninger til sine operatører," bemærker han.
"Den digitale verden er blevet etableret som den nye slagmark og stater, ikke-statslige organisationer og kommercielle virksomheder er nødt til at erkende, at trusler som Red October er ved at være den nye norm. Med hensyn til it-spionage så er det noget, alle gør. Spørgsmålet er blot, hvem der er bedst til det," kommenterer Limnell.
Oversat af Thomas Bøndergaard