Vídeo: The cyber attack rescue operation in Hydro Toulouse (De novembre 2024)
Kaspersky Lab va publicar el primer informe de dues parts sobre "Octubre Rojo", un atac contra programari maliciós que la companyia creu que està infestant sistemes governamentals d'alt nivell a tot Europa i que podria dirigir-se específicament a documents classificats. Segons l'informe, les dades robades estan a l'ordre de "centenars de Terabytes", i van ser en gran part no detectades durant uns cinc anys.
Octubre Rojo, o "Rocra", pren el nom del mes en què va ser descobert i el submarí rus silenciós titular imaginat per l'autor Tom Clancy. Podeu aproximar-vos a Red October i els seus antecedents a PC Mag.
Atacs específicament orientats
L’informe descriu Octubre Rojo com un "marc", que es pot actualitzar ràpidament per aprofitar els punts febles de les seves víctimes. Els atacants van iniciar el seu assalt amb correus electrònics de màrqueting o documents infectats dissenyats per cridar als seus objectius. Un cop infectats, els intrusos recopilaran informació del sistema abans d’instal·lar mòduls específics per fer créixer l’intrusisme. Kaspersky comptava al voltant de 1.000 fitxers únics inclosos en unes 30 categories de mòduls.
Aquest és un enfocament molt diferent que Flame o un altre programari maliciós que atrapa els titulars. L'informe diu que "hi ha un alt grau d'interacció entre els atacants i la víctima; l'operació es basa en el tipus de configuració que té la víctima, quin tipus de documents utilitza, el programari instal·lat, l'idioma natiu, etc."
"En comparació amb Flame i Gauss, que són campanyes de ciberspionatge altament automatitzades, Rocra és molt més 'personal' i molt afinada per a les víctimes", escriu Kaspersky.
Els atacants eren tan descarats com metòdics, canviant en realitat les tàctiques per utilitzar informació robada. "La informació recollida de les xarxes infectades es reutilitza en atacs posteriors", escriu Kaspersky. "Per exemple, les credencials robades es van recopilar en una llista i s'utilitzaven quan els atacants necessitaven endevinar contrasenyes i credencials de xarxa en altres ubicacions."
Mantenir-se fora del radar
Aquest tipus d’atac objectiu no només va permetre als darrere d’Octubre Rojo anar després d’objectius d’alt nivell, sinó que també va ajudar a mantenir l’operació desapercebuda durant anys. "La combinació de atacants altament qualificats i ben finançats i una distribució limitada significa generalment que el programari maliciós sigui capaç de romandre sota el radar durant un període important de temps", va dir a SecurityWatch la investigadora sènior de Kaspersky Roel Schouwenberg. "A més, no hem vist l'ús de vulnerabilitats del dia zero, la qual cosa torna a mostrar la importància del pegat".
Schouwenberg va dir que diverses capes de seguretat poden ajudar a bloquejar-se davant d'aquest tipus d'atacs. Va dir a SecurityWatch que "per això és important la defensa en profunditat i es posen en pràctica enfocaments com ara la denegació predeterminada, la llista blanca i el control de les aplicacions. Els atacs es poden aturar fins i tot sense que es detecti exactament".
No necessàriament el Treball de les Nacions
Malgrat els objectius d’alt nivell, Kaspersky subratlla que no hi ha cap vincle definitiu amb un atac patrocinat per l’estat. L’informe diu que si bé la informació orientada podria ser valuosa per a les nacions, "aquesta informació es podia intercanviar al subterrani i vendre-la al millor ofertant, que pot ser, per descomptat, a qualsevol lloc".
Les amenaces a mida com l'octubre vermell són el tipus d'escenaris pitjors que mantenen la seguretat al Pentàgon tota la nit. Afortunadament, l’especificitat que va fer que l’octubre vermell tingui èxit també significa que és poc probable que amenacin els consumidors habituals com tu i jo.
Malauradament, això no canvia el fet que un nou i potent jugador funcioni entre bastidors des de fa anys.
Per obtenir més informació sobre Max, seguiu-lo a Twitter @wmaxeddy.