Red 10月に発見された不正なマルウェア

ハッカーの謎のグループは、米国の目標を含む、外交、政府、科学研究のコンピュータネットワークから世界中の情報データを5年以上サイホンしている

カスペルスキー・ラボは、10月のマルウェア攻撃の調査を開始し、「Red 10月」の略称「Rocra」と名付けました。Rocraは、Microsoft Excel、Word、およびPDF文書タイプのセキュリティ脆弱性をいくつか使用して感染させますPC、スマートフォン、およびコンピュータネットワーキング機器。攻撃者の誰が攻撃を受けているのかは明らかではないが、Rocraは、中国のハッカーが元々作り出した少なくとも3つの悪用方法を利用している。しかし、Rocraのプログラミングは、カスペルスキー・ラボの報告書によると、ロシア語を話す別のグループから来ているようだ。

[追加の読書：あなたの新しいPCには15の無料で優れたプログラムが必要だ]

スピアフィッシング（spear-fishing）攻撃として知られている上位レベルの機関を対象としています。カスペルスキーは、Red October攻撃では、2007年5月早くも運用可能な時間に数百テラバイトのデータが得られる可能性が高いと推定しています。

Rocra感染は、2011年から2012年の間に300以上の国で発見されました。カスペルスキーのアンチウイルス製品の情報。影響を受けた国は、ロシア（35件）、カザフスタン（21件）、アゼルバイジャン（15件）をはじめとするソ連諸国の元々のメンバーである。アフガニスタン（10）、アルメニア（10）。米国にある大使館で6件の感染が発見されました。

カスペルスキー氏は、Rocraで使用されたマルウェアが、PCワークステーションやPCに接続されたスマートフォンからのデータを盗む可能性があると、カスペルスキーのソフトウェアを使用しているマシンから来たものであるため、 iPhone、Nokia、およびWindows MobileハンドセットRocraは、シスコブランドの機器からネットワーク構成情報を取得し、削除されたデータを含むリムーバブルディスクドライブからファイルを取得することができます。

マルウェアプラットフォームは電子メールメッセージや添付ファイルを盗み、感染マシンのキーストロークを記録し、 Chrome、Firefox、Internet Explorer、Opera Webブラウザから閲覧履歴を取得することができます。ロッカは、ローカルネットワークのFTPサーバーに保存されているファイルを取得し、ローカルネットワークを経由して自分自身を複製することもできます。

コースのパー

Rocraの機能は広範に見えますが、 Rocraの攻撃方法に感銘を受けました。セキュリティー企業のF-Secureは、同社のブログで「使用された悪用が進んでいないようだ」と述べた。 "攻撃者は、よく知られているWord、Excel、Javaの悪用を使用していました。これまでのところ、ゼロデイ脆弱性の兆候は見られません」と述べています。ゼロデイ脆弱性は、野生で発見された未知のエクスプロイトを指します

F-セキュアは技術力に感銘を受けませんでしたが、 Rocraが活動していた時間の長さと単一のグループが行ったスパイ活動の規模のために興味深い。 「しかし、F-Secureは追加しました。 "悲しい事実は、企業や政府は、さまざまなソースからの同様の攻撃を受けているということです。" Rocraは、被害者が悪意のある生産性ファイル（Excel、Word、PDF）をダウンロードして開くと、Rocraコマンド・アンド・コントロールのサーバーは、トロイの木馬のドロッパーとして知られています。この第2ラウンドのマルウェアには、データを収集し、その情報をハッカーに送り返すプログラムが含まれています。

盗まれたデータには、プレーンテキスト、リッチテキスト、Word、Excelなどの毎日のファイルタイプを含めることができますが、Red October攻撃はpgpやgpg暗号化ファイルなどの暗号化データにも適用されます。欧州連合（EU）や北大西洋条約機構などの政府機関や組織が使用する暗号ソフトウェアである「Acid Cryptofile」拡張機能。 Rocraの背後にいる人々が、入手した暗号化されたデータを解読できるかどうかは明らかではない。

Eメールの改訂

Kasperskyによると、Rocraは特に法執行機関の干渉に強い。キャンペーンのコマンド・アンド・コントロールサーバーがシャットダウンされた場合、ハッカーはシンプルな電子メールでマルウェアプラットフォームを制御できるようにシステムを設計しています。

Rocraのコンポーネントの1つは、受信したPDFまたはOfficeドキュメント実行可能コードを含み、特別なメタデータタグでフラグが立てられています。ドキュメントはすべてのセキュリティチェックに合格しますが、ダウンロードして開くと、Rocraはドキュメントに添付された悪意のあるアプリケーションを開始し、悪意のある人にデータを提供し続けることができます。このトリックを使用すると、ハッカーはすべて、新しいサーバーをいくつかセットアップして、以前の犠牲者にメールを送ってビジネスに復帰させることができます。

Rocraのサーバーは、一連のプロキシとして設定されます（サーバーは、 ）、攻撃の原因を発見するのがずっと難しくなります。 Kasperksyによると、Rocraのインフラストラクチャの複雑さは、PCに感染して機密データを盗むためにも使用されていたFlameマルウェアに匹敵します。 Stuxnetに似たコードで構築されたDuquのようなRocra、Flame、またはマルウェア間の接続は知られていません.F-Secureが指摘しているように、Red October攻撃は特に新しいことはしていないようですが、このマルウェアキャンペーンが野生で行われた時間は印象的です。 Flameなどの他のサイバースパイ活動と同様、Red Octoberは悪意のあるファイルをダウンロードしたりオープンしたり、悪意のあるWebサイトにアクセスしてコードをデバイスに注入したりすることに依存しています。これは、コンピュータのスパイ活動が増加している一方で、コンピュータセキュリティの基本がこれらの攻撃を防ぐために長い道のりを歩む可能性があることを示しています。

予防措置を取る

不明な送信者からのファイルを慎重に監視する彼らの主張されている送信者の性格から外れているファイルは良いスタートです。また、特に企業の機器を使用している場合は、知らないか信頼していないウェブサイトを訪問することには注意が必要です。最後に、お使いのWindowsのバージョンに対応した最新のセキュリティ更新プログラムがすべてインストールされていることを確認し、必要がない限りJavaをオフにすることを検討してください。すべての攻撃を防ぐことはできないかもしれませんが、基本的なセキュリティ対策を守れば、多くの悪い俳優からあなたを守ることができます。

カスペルスキーは、赤十字攻撃が国家や犯罪者の仕事ブラックマーケットで機密データを販売するF-Secureは、ロクラの影響を受けるシステムがあるかどうか懸念がある場合、現在使用されている悪用方法を検出することができます赤い10月の攻撃。カスペルスキーのウイルス対策ソフトウェアは、Rocraの脅威も検出できます。