Vivimos en una época en la que los datos de las personas, instituciones y estados, tienen un valor incalculable, eso lo saben los delincuentes informáticos y tratan de aprovechar la mínima oportunidad para hacerse con esa valiosa información ponerle un valor y venderlo al mejor postor.
Dimitry Bestushev jefe de investigación de la compañía de seguridad Kaspersky para América Latina dice que “Vivimos en guerra y aunque suene un poco fuerte es real, es una guerra cibernética, una guerra invisible, una guerra que no la vemos pero que puede tener impacto económicos y sociales en la vida de las personas, compañías y gobiernos.
Un nuevo informe de investigación de Kaspersky identifica una escurridiza campaña de espionaje cibernético que ha tenido como blanco organizaciones diplomáticas, gubernamentales y de investigación científica en varios países durante por lo menos cinco años.
La campaña afecta sobre todo a países en Europa Oriental, las repúblicas de la ex URSS y países de Asia Central, pero también se pueden encontrar víctimas en todas partes, incluyendo Europa Occidental al igual que Norte y Sur América. El principal objetivo de los atacantes es recopilar documentos sensitivos de las organizaciones afectadas, incluyendo información de inteligencia geopolítica, credenciales para ingresar en sistemas informáticos secretos y datos de dispositivos móviles y equipos de red.
Según el informe del análisis realizado por Kaspersky Lab, la operación Octubre Rojo (Red October), abreviada “Rocra” seguía activa en enero de 2013 y había estado funcionando sin interrupciones desde el 2007.
Los atacantes han estado activos y se han concentrado en agencias diplomáticas y gubernamentales de varios países en todo el mundo, pero también han afectado a instituciones de investigación, grupos energéticos y nucleares, empresas comerciales y agencias aeroespaciales. Los atacantes de Octubre Rojo diseñaron su propio malware, identificado como “Rocra”, de una peculiar arquitectura modular consistente en extensiones maliciosas, módulos de robo de información y troyanos-backdoors.
Con frecuencia los atacantes usaban información filtrada de las redes atacadas como una forma de obtener acceso a otros sistemas. Por ejemplo, las credenciales robadas se ponían en una lista que los atacantes usaban para adivinar contraseñas de acceso a sistemas adicionales.
Para controlar la red de equipos infectados, los atacantes crearon más de 60 nombres de dominio y varios servidores de hosting en diferentes países, la mayoría en Alemania y Rusia.
Para infectar los sistemas, los atacantes envían a la víctima un mensaje “spear-phishing” que incluye un dropper troyano hecho a la medida del destinatario. Para instalar el malware e infectar el sistema, el mensaje malicioso incluye exploits para vulnerabilidades de Microsoft Office y Microsoft Excel. Los exploits presentes en los documentos usados en los mensajes spear-phishing fueron creados por otros atacantes y se usaron durante diferentes ataques cibernéticos, entre ellos los lanzados contra activistas tibetanos y otros blancos militares y del sector energético en Asia. La única modificación introducida en el documento usado por Rocra es el ejecutable incrustado, que los atacantes reemplazaron por un código propio. Merece la pena destacar que una de las instrucciones del dropper troyano cambiaba el número de la página de código predeterminada de la sesión de entrada de comandos a 1251, que es la necesaria para usar fuentes cirílicas.
Se detectaron varios centenares de sistemas únicos infectados partiendo de los datos de KSN y su blanco principal eran varias embajadas, redes y organizaciones gubernamentales, institutos de investigación científica y consulados. Según los datos de KSN, la mayoría de las infecciones identificadas estaban ubicadas en Europa Oriental, pero también se identificaron otras infecciones en Norte y Sur América y los países de Europa Occidental, como Suiza y Luxemburgo.
Estadísticas del servidor sinkhole: El análisis realizado por el servidor sinkhole de Kaspersky Lab se realizó desde el 2 de noviembre de 2012 hasta el 10 de enero de 2013. Durante este tiempo se registraron más de 55.000 conexiones desde 250 direcciones IP infectadas ubicadas en 39 países. La mayor parte de las conexiones IP infectadas estaban en Suiza, seguida por Kazajstán y Grecia.
Se detacta además un módulo de “resurrección”: Es un módulo peculiar que permite que los atacantes “resuciten” los equipos infectados. El módulo está incrustado en forma de plug-in dentro de los archivos de instalación de Adobe Reader y Microsoft Office, lo que proporciona a los atacantes una forma fácil de recuperar el acceso al sistema si el cuerpo del malware principal fuese descubierto y borrado, o si se aplicasen parches al sistema. Una vez que los servidores de administración se ponen en funcionamiento, los atacantes envían un documento especializado (documentos de MS Office o PDF) a los equipos de las víctimas mediante correo electrónico, que activa de nuevo el malware.
También se identifica a dispositivos móviles infectados pues el malware puede robar datos de teléfonos móviles, como smartphones (iPhone, Nokia y Windows Mobile). El malware también puede robar información de la configuración de redes corporativas como routers y conmutadores, como también de archivos eliminados de memorias flash.