Artikel top billede

Sådan fungerede stort spionage-netværk i seks år

Det gigantiske spionage-netværk 'Red October' er modulopbygget. Se her, hvordan netværket har fungeret.

Computerworld News Service: Sikkerhedsfirmaet Kaspersky Lab har opdaget et hidtil ukendt og avanceret it-spionagenetværk, der har stjålet store mængder data fra blandt andet diplomattjenester og statslige myndigheder i hovedsageligt de tidligere sovjetrepublikker, Østeuropa og Centralasien siden 2007.

Efter en bemærkelsesværdig succes i løbet af de sidste to år med at afdække en række lyssky cybervåben er den nye opdagelse af it-spionagenetværket Red October (der forkortes Rocra) endnu et flot resultatet for russiske Kaspersky Lab.

Valget af navn efter Tom Clancys koldkrigsroman fra Reagan-æraen, Jagten på "Røde Oktober", (hvori Røde Oktober er navnet på en russisk atomubåd) er et dramatisk greb, der dog ser ud til at have sin berettigelse, når man gennemgår Kasperskys analyser af den nyopdagede trussel.

Red October er modulopbygget (30 moduler i alt), temmelig kompleks (1.000 filer med 115 oprettelsesdatoer fordelt på lige over to år), går efter flere forskellige miljøer (adskillige mobilplatforme udover pc'er) og havde indtil denne uge et kommando og kontrol-netværk med 60 domæner. Det er alt sammen noget, der kraftigt indikerer, at der er tale om et statssponsoreret cybervåben og ikke blot resultatet af organiseret kriminalitet.

Desuden har it-spionagenetværket undgået at blive opdaget i hvert fald siden 2007, hvilket betyder, at dets kode ikke har været relateret til kommerciel malware, for da ville antivirusprogrammerne have fundet det for længe siden.

En anden klar parallel til koldkrigsspændinger har at gøre med de data, spionagenetværket er gået efter. Det inkluderer en lang række forskellige typer af data heriblandt en type ved navn Acid Cryptofiler, hvilket er et krypteret format, som ifølge Kaspersky har været anvendt af EU og NATO siden blot 2011.

Målrettede phishing-angreb

Malwaren nåede frem til sine mål ved hjælp af målrettede phishing-angreb via e-mail og udnyttede kendte sårbarheder i Microsoft Office. Brugeroplysninger stjålet af netværket blev anvendt i efterfølgende angreb.

De cirka 300 opdagede ofre dækker en bred vifte af lande heriblandt i Nordamerika og Europa men hovedsageligt Østeuropa og de tidligere sovjetrepublikker - 35 inficeringer er fundet alene i Rusland.

Så vildt er netværket

Der er dog også fundet tegn på hastværk (eller tilpasningsevne afhængig af, hvordan man ser på det). Red Octobers operatører har for eksempel genbrugt kinesisk angrebskode.

Da denne angrebskode i forvejen var offentligt kendt, har dette involveret en vis risiko for opdagelse. Så det må antages, at bagmændene fra tid til anden har haft lidt for travlt.

Udover it-spionagenetværkets størrelse og mål er der også andet, der indikerer dets høje kompleksitet.

For eksempel dets bemærkelsesværdige evne til at genvinde kontrollen over inficerede maskiner ved hjælp af blandt andet skadeligt tilpassede Adobe Reader- eller Microsoft Office-dokumenter, i det tilfælde at den oprindelige infektion opdages og fjernes eller de oprindelige kommando og kontrol-servere uventet overtages eller lukkes ned.

Hvis det ligner et cybervåben, så er det som regel et cybervåben. Men hvem kan tænkes at stå bag Red October og hvad er det politiske motiv?

Kaspersky giver nogle få hentydninger såsom malwarens navn i firmaets antivirus-database, Backdoor.Win32.Sputnik, og selvfølgelig navnet på den overordnede it-spionagekampagne, Red October (det siger en hel del, at der som metafor bruges en russisk ubåd, der ikke parerer ordre).

Der er også noget, der peger på, at Red Octobers udviklere er russisksprogede.

Hvem end, der udviklede denne software, har et ønske om at holde sig ajourført på længere sigt med hensyn til militære og statslige efterretninger fra lande, der tidligere var allieret med Rusland, samt Ruslands nye allierede verden over.

"Igen rejser opdagelsen af denne spionagekampagne spørgsmålet om, hvad der ellers findes derude af trusler, som vi ikke kender til," kommenterer Jarno Limnell fra den finske sikkerhedsspecialist Stonesoft.

"Red October er også et godt eksempel på, hvad der sker af lyssky aktiviteter i den digitale verden. Det fører tankerne hen på, hvordan spioner arbejdede under den kolde krig. Der er her tale om avanceret spionage, der har infiltreret sikkerhedssystemer uden at blive opdaget og herefter i det skjulte indsamlet og sendt værdifulde efterretninger til sine operatører," bemærker han.

"Den digitale verden er blevet etableret som den nye slagmark og stater, ikke-statslige organisationer og kommercielle virksomheder er nødt til at erkende, at trusler som Red October er ved at være den nye norm. Med hensyn til it-spionage så er det noget, alle gør. Spørgsmålet er blot, hvem der er bedst til det," kommenterer Limnell.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere