Název je odvozený od slavné fiktivní ponorky z románu Toma Clancyho. V pojmenování je jistá symbolika: špionážní síť byla odkrytá v říjnu 2012 a její stopy vedou právě do Ruska. Pikantní přitom je, že ji odhalila ruská bezpečnostní firma Kaspersky Lab.
Záběr získávaných informací byl přitom velmi široký a kromě výše uvedených sektorů zahrnoval také organizace působící v oblasti energetiky, jaderného průmyslu, obchodní firmy a letecko-kosmický sektor.
Špionáž se uskutečňovala s pomocí malwaru pojmenovaného jako Rocra, který představoval modulární systém – a především měl unikátní vlastnosti.
Když síť objevili, bezpečnostní experti se rozhodli nezasahovat hned, ale ponechat informaci o její existenci ještě dva měsíce v utajení. To jim umožnilo zmapovat celý systém fungování a udělat jeho podrobnou analýzu. Ta odhalila mnoho netušených souvislostí, které by při rychlém zveřejnění mohly uniknout.
Podařilo se například dohledat, že systém fungoval nejméně od května 2007 – možná i dříve. Šlo tedy o dalšího „kostlivce v bezpečnostní skříni“, který opět rozvířil otázku, kolik takových zůstává neobjevených.
Práce i na pozadí
Kromě tradičních stolních počítačů se jako první podobný odhalený systém Rudý říjen zaměřoval také na vytěžování dat z mobilních zařízení, jako jsou třeba chytré telefony (iPhone, Nokia, Windows Mobile), sledoval síťové prvky (směrovače, přepínače) a na základě těchto informací pak chystal „útoky na míru“, sbíral data i z vyjímatelných disků, dokonce obnovoval smazané soubory, jež také odesílal.
Zajímavá byla i práce se získanými údaji – útočníci je ukládali a neustále se k nim vraceli. Především pak k informacím o síti, přihlašovacích prvcích nebo zvycích uživatelů/správců. To jim umožnilo vytvářet velmi přesné obrazy systémů, na které útočili.
Docházelo například k analýzám používaných hesel a vyhledávání zákonitostí v nich. Útočníci také podle všeho vykonávali před vlastním napadením „průzkum bojem“, kdy s pomocí různých jednoduchých triků skládali obraz vybraného systému. Vlastní útok pak dělali „na jisto“.
K řízení sítě infikovaných počítačů se vytvořila síť šedesáti serverů v různých zemích; nejvíce z nich bylo v Německu a Rusku. Ty fungovaly v proxy režimu, aby co nejvíce skryly mateřské řídicí centrum. Zda se podařilo vystopovat i to, bezpečnostní specialisté neuvedli. Sdělili ale, že zjištěné počty jsou zřejmě jen pověstnou špičkou ledovce.
I tak se ale odhalily stovky napadených systémů především ve východní Evropě, ale i v Severní Americe, západní Evropě a v některých asijských zemích. O jaké instituce šlo, se veřejně nepropagovalo, ovšem mezi kradenými soubory byl i formát acid, který používají pro šifrovanou komunikaci třeba NATO nebo orgány Evropské unie.
Během dvou měsíců monitorování systému se k výše uvedeným řídicím serverům připojilo 250 různých infikovaných zařízení ze 39 zemí, které uskutečnily 55 tisíc relací.
K infikaci vybraných systémů docházelo formou cíleného phishingu, kdy byl v přiloženém dokumentu umístěný na míru dotyčnému systému vytvořený trojský kůň. Zajímavé je, že základní konstrukce malwaru Rocra je podobná jiným kódům, které se už dříve zaměřovaly na monitorování tibetských aktivistů nebo vojenských či energetických institucí v Asii.
Možná šlo o stejný zdroj útoků, možná jen o stejnou školu – ale dost možná že šlo o prachobyčejné opisování. I v oblasti kybernetických útoků totiž platí, že není třeba objevovat Ameriku a že když něco funguje, je dobré na tom stavět dál.
Jenže tentokrát se „opisování“ vymstilo, protože podobný kód byl detekovaný už v roce 2011 a bezpečnostní specialisté tak měli alespoň hrubou představu, co hledat.
Zajímavé také je, že k odhalení některých instalací Rocry došlo díky cloudovým a crowdsourcingovým webovým službám (doporučujeme v této souvislosti článek Síla davu v bezpečnosti na jiném místě tohoto SecurityWorldu). Právě možnost práce s větším množstvím dat a důraz na jinak bezvýznamné symptomy umožnil odhalit instalace i tam, kde by jinak spolehlivě ušly pozornosti.
Unikátní mechanismy
Samotný kód Rocra využíval unikátní architekturu i funkcionality, se kterými jsme se dodnes nikde jinde nesetkali. Využíval třeba „návratový mód“: po instalaci do počítače vložil drobný plug-in do Adobe Readeru a MS Office. Pokud pak byl hlavní kód odhalený, odstraněný a došlo k záplatování systému, tento plug-in zpravidla v systému zůstal.
Nic nenasvědčovalo tomu, že by měl spojení s útokem. Agresoři pak na infikované zařízení poslali dokument s nenápadným aktivačním mechanismem: když byl otevřený, plug-in se probudil k životu a pokusil se zvenčí Rocru opět stáhnout.
„Spící agent“ uvnitř systému přitom představuje noční můru všech bezpečnostních specialistů, třeba právě s ohledem na neviditelnou spojitost s útočným kódem a trpělivé čekání. Aktivace se navíc dělá skrze smluvené znamení v dokumentu. A to je něco, co se prostě bezpečnostními prostředky odhalit nedá.
A propos, Rudý říjen zasahoval i do České republiky, kde bylo „méně než pět infekcí“. Podotýkáme ale, že těch objevených.
Tento příspěvek vyšel v Security Worldu 4/2014
PŘEDPLATNÉ
ČLÁNKY DO MAILU