Ottobre rosso: scoperta una grande rete di spionaggio

Kaspersky comunica i risultati della sua “Caccia ad Ottobre Rosso“. No, la società russa non si è impegnata in un remake del celeberrimo film che vedeva, come protagonista principale, Sean Connery. Anzi, l’azienda fondata e tutt’oggi diretta da Eugene Kaspersky presenta le conclusioni di un’attività d’indagine che ha condotto alla scoperta di una campagna di spionaggio ben lontana dalla finzione cinematografica.
Per cinque anni, dal 2007 ai giorni nostri, “Ottobre Rosso” ha preso di mira i governi e le organizzazioni di ricerca scientifica localizzati in diversi Paesi. Le nazioni che una volta appartevano all’URSS sono state le più bersagliate, stando a quanto rilevato dai tecnici di Kaspersky, insieme con i Paesi dell’Asia centrale. Non mancano all’appello, però, anche diverse vittime nell’Europa Occidentale e nel Nord America. L’obiettivo degli aggressori, sicuramente molto ben organizzati, era quello di raccogliere documenti sensibili utilizzati nei vari enti governativi e non, tra cui informazioni di intelligence geopolitica, le credenziali per accedere ai sistemi informatici e dati presenti sui dispositivi mobili e su strumenti di rete.

Le verifiche poste in essere da Kaspersky sono iniziate nel mese di ottobre 2012 (da qui l’appellativo dell’operazione) a seguito dei ripetuti attacchi informatici lamentati delle agenzie internazionali di servizi diplomatici.
Stando all’analisi pubblicata dai ricercatori di Kaspersky, l’attività degli aggressori starebbe ancora proseguendo: i criminali informatici hanno “confezionato” un malware – “Rocra” – caratterizzato da un’architettura modulare e composto, tra l’altro, da strumenti per il furto delle informazioni e per l’installazione di trojan.

Per controllare la rete di computer infetti, gli aggressori hanno creato più di 60 domini e punti di hosting in diversi paesi, la maggior parte dislocati in Germania e Russia. Le analisi di Kaspersky Lab sulle infrastrutture di “comando & controllo” (i server utilizzati per impartire i comandi ai sistemi infetti) di “Rocra” evidenziano come la “catena di macchine” impiegata sia stata adoperata per mascherare la posizione del server principale.

Decine le tipologie di file che il malware “Rocra” ha saccheggiato e che ancora oggi è capace di sottrarre: file di testo, documenti elaborati con le varie suite, file PDF, database, file utilizzati per cifrare documenti (viene posta particolare attenzione agli elementi che contengono le chiavi private utili per decodificare documenti crittografati). Tra le tipologie di file anche quelli prodotti con “Acid Cryptofiler“, un software utilizzato da diversi enti (Unione Europea, Commissione Europea, Parlamento Europeo e NATO in primis) per cifrare file e volumi utilizzando la crittografica asimmetrica (o a chiave pubblica).

Per l’infezione dei sistemi vengono utilizzate campagne di phishing perpetrate via e-mail e viene fatta leva sulle vulnerabilità irrisolte (mancata installazione delle patch) di Microsoft Office.

Secondo quanto rivelato da Kaspersky, i criminali hanno creato una piattaforma di attacco multifunzionale, che include diverse estensioni e file nocivi progettati per adattarsi rapidamente alle configurazioni dei diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è stata realizzata appositamente per “Rocra” dal momento che il codice impiegato è per il momento un “unicum”, mai identificato in precedenti campagne di spionaggio informatico.
Uno speciale “modulo resurrezione” viene “agganciato” come plugin all’interno delle installazioni di Adobe Reader e di Microsoft Office: in questo modo, i criminali informatici si tengono aperta una porta nel caso in cui il malware principale dovesse essere scoperto e rimosso.