Jak Cloud Atlas zastąpił Red October
2014-12-18 13:31
Cloud Atlas i Red October © fot. mat. prasowe
Red October, kampania cyberszpiegowska, o której Kaspersky Lab pisał przed dwoma laty, powraca. Jej nowa odsłona - Cloud Atlas - wycelowana jest przede wszystkim w Rosję i sąsiadujący z nią Kazachstan.
Przeczytaj także: Ile spamu może wygenerować botnet?
Czerwony Październik stał się tematem jednej z zeszłorocznych publikacji ekspertów z Kaspersky Lab. Wkrótce po niej cyberprzestępcy złożyli broń - działania zostały wstrzymane, a sieć serwerów kontroli zdemontowana. Operacja zakrojona była jednak na tak szeroką skalę, że można się było spodziewać, iż nie udało się jej wyeliminować do końca - organizatorzy tak dużych akcji przeważnie bowiem schodzą to tzw. podziemia, podejmując prace prowadzące do kolejnego uderzenia.Cloud Atlas i Red October – podobieństwa
Pierwsze symptomy powrotu operacji Red October były zauważalne już pod koniec 2013 r. Wtedy właśnie pojawiło się atypowe, szkodliwe oprogramowanie Mevader. Mimo podobieństw wielu aspektów technicznych (np. konwencja nazw serwerów kontroli) trop okazał się zbyt słaby. Dopiero w sierpniu 2014 r. analitycy z Kaspersky Lab zauważyli coś, co wzbudziło w nich podejrzenie, że Red October wrócił na dobre. Wtedy to zauważono ataki ukierunkowane realizowane przy użyciu nietypowego zestawu szkodliwego oprogramowania, gdzie podobieństwa do operacji Red October były oczywiste. Na początku uwagę ekspertów przykuła m.in. jedna z nazw plików wykorzystywanych przez atakujących do infekowania komputerów potencjalnych ofiar: „Diplomatic Car for Sale.doc”. Red October próbował atakować, zachęcając także do zakupu samochodów, którymi podróżowali dyplomaci. Co ciekawe, ataki te były skierowane przeciwko tym samym ofiarom.
Dalsza analiza tego tropu doprowadziła do odkrycia wielu podobieństw w technikach wykorzystywanych przez cyberprzestępców.
Podobnie jak w przypadku operacji Red October, głównym celem Cloud Atlas jest Rosja, na drugim miejscu znajduje się natomiast Kazachstan – tak wynika z danych pochodzących z Kaspersky Security Network (KSN). Ponadto cele w tych dwóch państwach częściowo pokrywają się.
Szkodliwe programy wykorzystywane w kampaniach Cloud Atlas i Red October opierają się na podobnym schemacie – module ładującym i docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewnętrznym. Innym podobieństwem jest wykorzystywanie identycznych algorytmów kompresji w obydwóch operacjach (wersja zastosowana w Cloud Atlas została udoskonalona).
Najmocniejszym ogniwem łączącym opisywane operacje są prawdopodobnie ich cele. Z danych pochodzących z Kaspersky Security Network wynika, że niektóre z ofiar kampanii Red October są również ofiarami Cloud Atlas. W co najmniej jednym przypadku komputer ofiary został zaatakowany w ciągu ostatnich dwóch lat tylko dwa razy i to przy użyciu tylko dwóch szkodliwych programów - Red October i Cloud Atlas.
Z głową w chmurach – jak Cloud Atlas komunikuje się z serwerami kontroli
Narzędzia cyberprzestępcze wykorzystywane w kampanii Cloud Atlas stosują nietypowy mechanizm kontroli. Łączą się z określonymi zasobami znajdującymi się w serwisie CloudMe oferującym usługi chmurowe. To właśnie tam cyberprzestępcy umieszczają polecenia dla zainfekowanych maszyn i tam składowane są informacje wykradzione od ofiar. Co ważne, firma CloudMe nie jest w żaden sposób powiązana z grupą Cloud Atlas – osoby atakujące po prostu zakładają darmowe konta u tego dostawcy i wykorzystują je do kontrolowania swoich operacji.
fot. mat. prasowe
Cloud Atlas i Red October
Dlaczego reaktywacja nastąpiła po tak długim czasie?
Po publicznym zdemaskowaniu kampanii ataków ukierunkowanych grupy cyberprzestępców zachowują się w przewidywalny sposób. Większość atakujących po prostu przenosi serwery kontroli w inne miejsce, delikatnie zmienia szkodliwe oprogramowanie i dalej prowadzi swoje kampanie. Inne grupy, bardziej zaniepokojone zdemaskowaniem, ulegają „hibernacji” na całe miesiące lub lata. Niektóre nigdy nie wracają, a przynajmniej nie używają ponownie tych samych narzędzi i technik. Gdy jednak odkryta zostanie większa operacja cyberszpiegowska, atakujący nie likwidują wszystkiego całkowicie. Na pewien czas znikają z Sieci, aby całkowicie zmienić swoje narzędzia, przegrupować się i powrócić z odnowionymi siłami. Tak, zdaniem ekspertów z Kaspersky Lab, stało się w przypadku kampanii Red October, która powróciła pod postacią operacji Cloud Atlas.
Przeczytaj także:
6 najpopularniejszych sposobów na zarażenie programami malware
oprac. : Aleksandra Baranowska-Skimina / eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)