Red October revine sub alt nume. Cloud Atlas, o nouă campanie de spionaj de la ruși

Campania Red October a fost descoperită în anul 2011 și a fost considerată una dintre cele mai complexe campanii de spionaj cibernetic. S-ar părea că hackerii din spatele acestei amenințări au revenit sub o nouă denumire: Cloud Atlas.

În cazul Red October s-a descoperit că hackerii culegeau informații de la diverse instituții și diplomați din întreaga lume, predominant din Rusia și Kazahstan. Numele vine de la luna octombrie a anului 2012, când cei de la Kaspersky au descoperit, pentru prima dată, atacul. În ianuarie 2013, când informațiile au fost date publicului, spionii cibernetici și-au încetat operațiunile.

Experții Kaspersky Labs sunt cei care au descoperit și noua campanie Cloud Atlas, în luna august a acestui an. Cu toate că analiza uneltelor folosite și a datelor furate este abia la început, experții Kaspersky au remarcat imediat o serie de tactici mai puțin obișnuite pentru atacurile de tip APT (n.red. – Advanced Persistent Threat).

”Cum se întâmplă de obicei cu aceste operațiuni mari, având în vedere investițiile masive și numărul resurselor implicate, ele nu dispar pentru totdeauna. În mod normal, grupul dispare de pe radar timp de câteva luni, regândește uneltele și malware-ul folosite și apoi reiau operațiunile”, se arată pe blogul SecureList.

În campania Cloud Atlas, la fel ca și în Red October, computerele targetate se infectau prin fișiere Microsoft Office. Acestea aveau nume precum ”FT – Ukraine Russia’s new art of war.doc”, ”Катастрофа малайзийского лайнера.doc”, ”Organigrama Gobierno Rusia.doc” sau ”Diplomatic Car for Sale.doc”. Această ultimă denumire de fișier i-a ajutat pe experți să facă o legătură mai puternică cu Red October, dar și bucăți din codul sursă al fișierele malițioase.

Partea cea mai interesantă la Cloud Atlas ține de cloud. Mai exact, de cum s-au folosit hackerii de ”nor” pentru a transmite fișierele furate din computerele infectate. Fiecare malware în parte comunica cu un cont diferit de pe site-ul Cloud.me, un serviciu legitim, care nu a avut nicio implicare în această campanie de spionaj.

”Nu crede că CloudMe are vreo legătură cu grupul Cloud Atlas – atacatorii pur și simplu au creat conturi gratuite pe site-ul acestui provider de servicii și le-au abuzat, folosindu-le ca centru de comandă și control”, au explicat reprezentanții Kaspersky.

”God Save The Queen”

Playtech a discutat cu liderul echipei Global Research & Analysis Team Kaspersky, Costin Raiu. L-am întrebat ce fel de fișiere au fost furate și cât de diferite sunt tehnologiile folosite în cazul Cloud Atlas de cele utilizate de gruparea Red October.

“Deocamdată nu avem imaginea completă a Cloud Atlas și nu știm exact ce căutau atacatorii. Astăzi am vazut un mesaj de la CloudMe. Noi am identificat 25 de conturi folosite de hackeri, dar cei de la CloudMe spun ca au descoperit aproximativ 10.000 de astfel de conturi”, a declarat Raiu, pentru Playtech.

Totuși, scopul campaniei este, în mare, puterea politică și avantajele geostrategice care le oferă accesul la documente confidențiale. ”Credem că Red October este Cloud Atlas așa că suntem de părere că s-au furat documente diplomatice”, a mai spus el.

Totuși, hackerii nu au ales calea ușoară și au preferat să construiască totul de la zero. Pentru a induce în eroare experții în securitate, spune Raiu, aceștia au introdus în cod indicii în indiană, arabă și chiar și sintagma ”God Save The Queen”, însă niciun cuvânt în limba rusă.

Tocmai asta îi dă de gol, consideră expertul GREAT: faptul că s-a evitat atât de mult folosirea cuvintelor în limba rusă și s-au aruncat atât de multe alte cuvinte din limbi diferite.  

Cât despre anul 2015, Costin Raiu se așteaptă că atacurile de tip APT se vor înmulți, iar din ce în ce mai multe țări vor participa la cursa înarmării ciberntice. Restul previziunilor pentru anul 2015 le găsiți aici.