กลุ่มแฮกเกอร์กลุ่มเล็ก ๆ ได้ดูดข้อมูลข่าวสารจากทั่วโลกจากเครือข่ายคอมพิวเตอร์การทูตรัฐบาลและวิทยาศาสตร์มานานกว่าห้าปีรวมทั้งเป้าหมายในสหรัฐอเมริกาตามข้อมูล รายงานจาก Kaspersky Lab

ไม่ชัดเจนว่าใครอยู่เบื้องหลังการโจมตี แต่ Rocra ใช้ช่องโหว่ที่รู้จักโดยสาธารณชนอย่างน้อยสามแห่งที่แฮกเกอร์จีนสร้างขึ้นมา ตามรายงานของ Kaspersky Lab

[อ่านเพิ่มเติม: พีซีใหม่ของคุณต้องการโปรแกรมฟรี 15 ชิ้นที่ยอดเยี่ยมนี้]

การโจมตีเกิดขึ้นได้ อย่างต่อเนื่องและมุ่งเป้าไปที่สถาบันระดับสูงในสิ่งที่เรียกว่าการโจมตีด้วยหอก - ตกปลา Kaspersky ประเมินว่าการโจมตี Red October มีแนวโน้มที่จะได้รับข้อมูลเทราไบต์เป็นร้อย ๆ เทราไบต์ในเวลาที่มีการดำเนินงานซึ่งอาจเร็วถึงเดือนพฤษภาคม 2550

การติดเชื้อ Rocra ถูกค้นพบในกว่า 300 ประเทศในระหว่างปีพ. ศ. เกี่ยวกับข้อมูลจากผลิตภัณฑ์ป้องกันไวรัสของ Kaspersky ประเทศที่ได้รับผลกระทบส่วนใหญ่เป็นอดีตสมาชิกของสหภาพโซเวียต ได้แก่ รัสเซีย (35 ราย) คาซัคสถาน (21) และอาเซอร์ไบจาน (15)

ประเทศอื่น ๆ ที่ติดเชื้อจำนวนมาก ได้แก่ เบลเยียม (15) อินเดีย (14) อัฟกานิสถาน (10) และอาร์เมเนีย (10) มีการติดเชื้อหกรายที่สถานทูตที่ตั้งอยู่ในสหรัฐอเมริกา เนื่องจากตัวเลขเหล่านี้มาจากเครื่องที่ใช้ซอฟต์แวร์ Kaspersky เท่านั้นจำนวนการติดไวรัสที่แท้จริงอาจสูงกว่ามาก

ใช้เวลาทั้งหมด

Kaspersky กล่าวว่ามัลแวร์ที่ใช้ใน Rocra สามารถขโมยข้อมูลจากคอมพิวเตอร์เดสก์ท็อปและสมาร์ทโฟนที่เชื่อมต่อกับพีซี โทรศัพท์มือถือ iPhone, Nokia และ Windows Mobile Rocra สามารถรับข้อมูลการกำหนดค่าเครือข่ายจากอุปกรณ์แบรนด์ Cisco และดึงไฟล์จากไดรฟ์แบบถอดได้รวมถึงข้อมูลที่ถูกลบ

แพลตฟอร์มมัลแวร์สามารถขโมยข้อความอีเมลและสิ่งที่แนบบันทึกบันทึกการกดแป้นพิมพ์ทั้งหมดของเครื่องที่ติดไวรัส, และเรียกดูประวัติการเข้าชมจาก Chrome, Firefox, Internet Explorer และ Opera Web browsers ราวกับว่าไม่เพียงพอ Rocra ยังคว้าไฟล์ที่เก็บไว้ในเซิร์ฟเวอร์ FTP เครือข่ายท้องถิ่นและสามารถจำลองตัวเองผ่านเครือข่ายท้องถิ่น

พาร์สำหรับหลักสูตร

แม้ว่าความสามารถของ Rocra จะปรากฏขึ้นกว้างขวางไม่ใช่ทุกคนในสาขาความปลอดภัย ประทับใจกับวิธีการโจมตีของ Rocra บริษัท ด้านความปลอดภัย F-Secure กล่าวว่า "ดูเหมือนว่าพฤติกรรมการใช้ประโยชน์ไม่ได้เกิดขึ้นในทางใด ๆ " ในบล็อกของ บริษัท กล่าว "ผู้บุกรุกได้ใช้ Word, Excel และ Java exploit ที่รู้จักกันดี ช่องโหว่ zero-day หมายถึงการค้นพบที่ไม่รู้จักก่อนหน้านี้ที่พบในป่า

แม้จะไม่มีการกดดันจากความสามารถทางเทคนิคของ F-Secure กล่าวว่าการโจมตีของ Red October เป็นเรื่องที่น่าสนใจเนื่องจากระยะเวลาที่ Rocra ได้รับการเคลื่อนไหวและขนาดของหน่วยสืบราชการลับที่ดำเนินการโดยกลุ่มคนเดียว "อย่างไรก็ตาม" F-Secure เพิ่ม "ความจริงที่น่าเศร้าคือ บริษัท และรัฐบาลต่างๆอยู่ภายใต้การโจมตีที่คล้ายคลึงกันจากหลาย ๆ แหล่ง" Rocanda เริ่มต้นเมื่อเหยื่อดาวน์โหลดและเปิดไฟล์ผลผลิตที่เป็นอันตราย (Excel, Word, PDF) ซึ่งสามารถดึงมัลแวร์จาก Rocra's ได้มากขึ้น เซิร์ฟเวอร์คำสั่งและควบคุมซึ่งเป็นวิธีการที่เรียกว่า Trojan dropper มัลแวร์รอบที่สองนี้มีโปรแกรมที่รวบรวมข้อมูลและส่งข้อมูลดังกล่าวกลับไปหาแฮกเกอร์

ข้อมูลที่ถูกโจรกรรมอาจรวมถึงไฟล์ประเภทต่างๆในชีวิตประจำวันเช่นข้อความธรรมดาข้อความเสริม Word และ Excel แต่การโจมตีของ Red October จะไปตามข้อมูลที่เข้ารหัสลับเช่น pgp และ gpg ไฟล์ที่มีการเข้ารหัส

นอกจากนี้ Rocra ยังมองหาไฟล์ที่ใช้ ส่วนขยาย "Acid Cryptofile" ซึ่งเป็นซอฟต์แวร์เข้ารหัสที่ใช้โดยรัฐบาลและองค์กรต่างๆรวมถึงสหภาพยุโรปและองค์การสนธิสัญญาป้องกันแอตแลนติกเหนือ ยังไม่เป็นที่แน่ชัดว่าคนที่อยู่เบื้องหลัง Rocra สามารถถอดรหัสข้อมูลที่เข้ารหัสลับได้หรือไม่

การเกิดใหม่ของอีเมล

Rocra ยังต่อต้านการแทรกแซงจากการบังคับใช้กฎหมายโดยเฉพาะอย่างยิ่งตามที่ Kaspersky กล่าว หากมีการปิดเซิร์ฟเวอร์คำสั่งและควบคุมของแคมเปญแฮกเกอร์ได้ออกแบบระบบเพื่อให้สามารถควบคุมมัลแวร์ด้วยอีเมลธรรมดาได้

ส่วนประกอบของ Rocra ค้นหาไฟล์ PDF หรือเอกสาร Office ที่เข้ามา ที่มีโค้ดปฏิบัติการและมีการทำเครื่องหมายด้วยแท็กข้อมูลเมตาพิเศษ เอกสารจะผ่านการตรวจสอบความปลอดภัย Kaspersky กล่าว แต่เมื่อดาวน์โหลดและเปิดขึ้น Rocra สามารถเริ่มต้นแอพพลิเคชันที่เป็นอันตรายที่แนบมากับเอกสารและป้อนข้อมูลต่อไปยังผู้ร้ายได้ การใช้เคล็ดลับนี้แฮกเกอร์ทั้งหมดต้องทำคือการตั้งเซิร์ฟเวอร์ใหม่และส่งอีเมลเอกสารที่เป็นอันตรายไปยังผู้ที่ตกเป็นเหยื่อก่อนเพื่อกลับเข้าสู่ธุรกิจ

เซิร์ฟเวอร์ของ Rocra ถูกเซ็ตอัพเป็นพร็อกซี (เซิร์ฟเวอร์ซ่อนตัวอยู่หลังเซิร์ฟเวอร์อื่น)) ซึ่งทำให้ยากต่อการค้นพบแหล่งที่มาของการโจมตีมากขึ้น Kasperksy กล่าวว่าความซับซ้อนของโครงสร้างพื้นฐานของ Rocra ซึ่งเป็นคู่แข่งของมัลแวร์ Flame ซึ่งใช้ในการติดตั้งเครื่องพีซีและขโมยข้อมูลสำคัญ ไม่มีการเชื่อมต่อระหว่าง Rocra, Flame หรือมัลแวร์เช่น Duqu ซึ่งสร้างขึ้นจากโค้ดที่คล้ายกับ Stuxnet

ตามที่ระบุไว้โดย F-Secure การโจมตี Red October ดูเหมือนจะไม่ได้ทำอะไรใหม่ ๆ โดยเฉพาะอย่างยิ่ง " แต่ระยะเวลาที่แคมเปญมัลแวร์นี้มีอยู่ในป่าเป็นที่น่าประทับใจ คล้ายกับแคมเปญหน่วยสืบราชการลับของไซเบอร์อื่น ๆ เช่น Flame, Red October อาศัยผู้ใช้ที่แอบแฝงในการดาวน์โหลดและเปิดไฟล์ที่เป็นอันตรายหรือเยี่ยมชมเว็บไซต์ที่เป็นอันตรายซึ่งสามารถแทรกโค้ดลงในอุปกรณ์ได้ ข้อควรระวัง: ข้อควรระวังที่เป็นประโยชน์เช่นการระวังไฟล์จากผู้ส่งที่ไม่รู้จักหรือเฝ้าระวังภัยคุกคามต่างๆ

หลีกเลี่ยงการใช้คอมพิวเตอร์ ไฟล์ที่ไม่อยู่ในตัวอักษรจากผู้ส่งที่อ้างว่าเป็นการเริ่มต้นที่ดี นอกจากนี้ยังควรระวังในการเยี่ยมชมเว็บไซต์ที่คุณไม่รู้จักหรือเชื่อถือโดยเฉพาะเมื่อใช้อุปกรณ์ขององค์กร สุดท้ายตรวจสอบว่าคุณมีการอัปเดตการรักษาความปลอดภัยล่าสุดทั้งหมดสำหรับ Windows รุ่นของคุณและพิจารณาอย่างจริงจังว่าควรปิดใช้งาน Java เว้นแต่คุณจะต้องการใช้งานอย่างเต็มที่ คุณอาจไม่สามารถป้องกันการโจมตีได้ทั้งหมด แต่การปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยขั้นพื้นฐานสามารถปกป้องคุณจากนักแสดงออนไลน์ที่ไม่ดี

Kaspersky กล่าวว่าไม่ชัดเจนว่าการโจมตี Red October เป็นผลงานของชาติหรืออาชญากรที่กำลังมองหา เพื่อขายข้อมูลที่ละเอียดอ่อนในตลาดมืด บริษัท รักษาความปลอดภัยมีแผนที่จะเผยแพร่ข้อมูลเพิ่มเติมเกี่ยวกับ Rocra ในช่วงไม่กี่วันข้างหน้า

หากคุณกังวลว่าระบบของคุณจะได้รับผลกระทบจาก Rocra หรือไม่ F-Secure กล่าวว่าซอฟต์แวร์ป้องกันไวรัสสามารถตรวจจับการโจมตีที่รู้จักกันในปัจจุบันที่ใช้ใน การโจมตีในเดือนตุลาคมสีแดง ซอฟต์แวร์ป้องกันไวรัสของ Kaspersky ยังสามารถตรวจจับภัยคุกคามจาก Rocra