Ce malware a volé des données diplomatiques, gouvernementales,

Kaspersky Lab a commencé à rechercher les attaques de logiciels malveillants en octobre et les a baptisées «Rocra», raccourci de «Red October». Rocra utilise un certain nombre de failles de sécurité dans Microsoft Excel, Word et PDF PC, smartphones et équipements de réseau informatique. Mardi, des chercheurs ont découvert que la plate-forme de logiciels malveillants utilise également des exploits Java sur le Web.

On ne sait pas qui est derrière les attaques, mais Rocra utilise au moins trois exploits connus à l'origine par des pirates informatiques chinois. Selon le rapport de Kaspersky Lab, la programmation de Rocra semble appartenir à un groupe distinct d'agents russophones.

[Lectures supplémentaires: votre nouveau PC a besoin de ces 15 programmes gratuits et excellents]

Les attaques sont en cours et ciblé sur les institutions de haut niveau dans ce que l'on appelle les attaques de pêche au harpon. Kaspersky estime que les attaques du mois d'octobre ont probablement obtenu des centaines de téraoctets de données au moment où il a été opérationnel, ce qui pourrait se produire dès mai 2007.

Des infections Rocra ont été découvertes dans plus de 300 pays entre 2011 et 2012 sur les informations des produits antivirus de Kaspersky. Les pays affectés étaient principalement des anciens membres de l'URSS, y compris la Russie (35 infections), le Kazakhstan (21) et l'Azerbaïdjan (15).

La Belgique (15), l'Inde (14), Afghanistan (10) et Arménie (10). Six infections ont été découvertes dans des ambassades situées aux États-Unis. Parce que ces chiffres proviennent uniquement de machines utilisant le logiciel Kaspersky, le nombre réel d'infections pourrait être beaucoup plus élevé.

Prenez tout

Kaspersky a déclaré que les logiciels malveillants utilisés dans Rocra peuvent voler des données de postes de travail et de smartphones connectés à des PC. iPhone, Nokia et Windows Mobile. Rocra peut acquérir des informations de configuration réseau à partir d'équipements de marque Cisco et récupérer des fichiers à partir de disques amovibles incluant des données supprimées.

La plate-forme malveillante peut également voler des messages électroniques et des pièces jointes, enregistrer toutes les frappes d'une machine infectée, et accédez à l'historique de navigation dans les navigateurs Web Chrome, Firefox, Internet Explorer et Opera. Comme si cela ne suffisait pas, Rocra saisit également les fichiers stockés sur les serveurs FTP du réseau local et peut se répliquer sur un réseau local

Par pour le cours

Même si les capacités de Rocra semblent étendues, a été impressionné par les méthodes d'attaque de Rocra. "Il semble que les exploits utilisés n'aient aucunement été avancés", a déclaré le cabinet de sécurité F-Secure sur son blog d'entreprise. "Les attaquants utilisaient des exploits Word, Excel et Java bien connus. Jusqu'à présent, il n'y a aucun signe de vulnérabilités zero-day utilisées. "Une vulnérabilité zero-day fait référence à des exploits inconnus jusqu'ici.

Bien que F-Secure ne soit pas impressionné par ses capacités techniques, sont intéressants à cause de la durée de l'activité de Rocra et de l'ampleur de l'espionnage entrepris par un seul groupe. "Cependant", a ajouté F-Secure. "La triste vérité est que les entreprises et les gouvernements subissent constamment des attaques similaires provenant de nombreuses sources."

Rocra commence lorsqu'une victime télécharge et ouvre un fichier de productivité malveillant (Excel, Word, PDF) qui peut récupérer plus de logiciels malveillants de Rocra serveurs de commande et de contrôle, une méthode connue sous le nom de dropper de Troie. Cette deuxième série de logiciels malveillants comprend des programmes qui collectent des données et les transmettent aux pirates.

Les données volées peuvent inclure des types de fichiers quotidiens tels que le texte brut, le texte enrichi, Word et Excel, mais les attaques rouges d'octobre vont aussi après des données cryptographiques telles que les fichiers cryptés pgp et gpg.

Rocra recherche les fichiers qui utilisent Les extensions "Acid Cryptofile", qui sont des logiciels cryptographiques utilisés par les gouvernements et les organisations, y compris l'Union européenne et l'Organisation du Traité de l'Atlantique Nord. Il n'est pas clair si les gens derrière Rocra sont capables de déchiffrer les données cryptées qu'ils obtiennent.

E-mail renaissance

Rocra est également particulièrement résistant à l'interférence des forces de l'ordre, selon Kaspersky. Si les serveurs de commande et de contrôle de la campagne étaient arrêtés, les pirates ont conçu le système pour qu'ils puissent reprendre le contrôle de leur plate-forme de logiciels malveillants avec un simple e-mail.

Un composant Rocra recherche un document PDF ou Office. contient le code exécutable et est marqué avec des balises de métadonnées spéciales. Le document passera tous les contrôles de sécurité, dit Kaspersky, mais une fois qu'il est téléchargé et ouvert, Rocra peut démarrer une application malveillante attachée au document et continuer à alimenter les méchants. En utilisant cette astuce, tout ce que les pirates ont à faire est de configurer de nouveaux serveurs et d'envoyer des courriers électroniques à des victimes pour les remettre en route.

Les serveurs de Rocra sont configurés comme une série de serveurs.), ce qui rend beaucoup plus difficile de découvrir la source des attaques. Kasperksy dit que la complexité de l'infrastructure de Rocra rivalise avec celle du logiciel malveillant Flame, qui a également été utilisé pour infecter des ordinateurs et voler des données sensibles. Il n'y a pas de lien connu entre Rocra, Flame, ou malware comme Duqu, qui a été construit sur un code similaire à Stuxnet.

Comme l'a noté F-Secure, les attaques Red October ne semblent pas vraiment nouvelles, mais la quantité de temps que cette campagne de malware a été dans la nature est impressionnante. À l'instar d'autres campagnes de cyberespionnage comme Flame, Red October se fie au téléchargement et à l'ouverture de fichiers malveillants par des utilisateurs ou à la consultation de sites Web malveillants dans lesquels du code peut être injecté dans leurs appareils. Cela suggère que si l'espionnage informatique est en augmentation, les bases de la sécurité informatique peuvent largement contribuer à prévenir ces attaques.

Prendre des précautions

Précautions utiles, par exemple se méfier des fichiers d'expéditeurs inconnus ou faire attention les fichiers qui sont hors de leur expéditeur présumé est un bon début. Il est également utile de se méfier des sites Web que vous ne connaissez pas ou auxquels vous n'avez pas confiance, en particulier lorsque vous utilisez un équipement d'entreprise. Enfin, assurez-vous d'avoir toutes les dernières mises à jour de sécurité pour votre version de Windows, et pensez sérieusement à désactiver Java à moins que vous n'en ayez absolument besoin. Vous pouvez ne pas être capable d'empêcher toutes sortes d'attaques, mais adhérer aux pratiques de sécurité de base peut vous protéger de nombreux mauvais acteurs en ligne.

Kaspersky dit qu'il n'est pas clair si les attaques Octobre rouges sont le travail d'un Etat ou des criminels vendre des données sensibles sur le marché noir. La société de sécurité prévoit de publier plus d'informations sur Rocra dans les jours à venir.

Si vous craignez que vos systèmes soient affectés par Rocra, F-Secure indique que son logiciel antivirus peut détecter les exploits actuellement utilisés dans le système. Les attaques rouges d'octobre. Le logiciel antivirus de Kaspersky peut également détecter les menaces de Rocra.