(Bilde: Kaspersky Labs)

Superormen stjeler «alt»

«Red October» tar det meste, men trekker seg nå tilbake.

Forrige uke omtalte vi den nyoppdagede typen ondsinnet programvare døpt «Red October», oppkalt etter den russiske revolusjonen i 1918, og forkortet Rocra.

Ormen har vært aktiv i fem år før den ble oppdaget, og nå er det klart hvilken informasjon den har tappet. Listen er ikke hyggelig lesing for de rammede.

Tar «alt»

Modulene til ormen er det som blir brukt til å infisere ofrenes systemer, samle inn data fra og sende opplysningene til inntrengernes kommando- og kontrollsentre.

Listen med triks som «Red October» benytter er lang, og dette er noen av dem:

  • Nettleserhistorikk fra Chrome, Firefox, Internet Explorer og Opera
  • Lagrede passord til nettsider, FTP-servere, e-postkontoer og chattetjenester
  • Filer fra FTP-servere (ved hjelp av stjålne passord)
  • Informasjon og e-poster fra Microsoft Outlook
  • Filer fra eksterne USB-disker, inkludert slettede filer
  • Skjermdumper og avlesning av tastaturtrykk
  • Informasjon om installert programvare
  • Informasjon om nettverkskonfigurasjon – så andre maskiner på nettverket kan smittes
  • Liste over delte filer på nettverket
  • Stjeler data fra iPhone og Nokia-telefoner når de er koblet til, og infiserer Windows-telefoner

Mer inngående informasjon finnes i den tekniske rapporten, som består av mer enn 140 sider med teknisk analyse.

Mest inngående noen gang

Det var etterforskere i det russiske sikkerhetsselskapet Kapersky Labs som oppdaget ormen, som i hovedsak har rammet diplomatiske, offentlige og forskningsdatamaskiner. Da den første rapporten ble sluppet kjente de til omkring 300 infiserte datamaskiner, og del to av rapporten inneholder detaljert teknisk informasjon om de forskjellige modulene.

Ifølge pressemeldingen som fulgte rapporten vet ikke Kapersky Labs om noe kyberspionasjeangrep som har blitt analysert så grundig som dette, med fokus på modulene brukt i angrepet. I de fleste tilfeller blir analyser vanskeliggjort av mangel på tilgang til ofrenes data, og forskerne får bare se noen av modulene i sving.

Dette fører til at forskerne ikke får full forståelse for hva som var hensikten med angrepet, eller hvilke data som ble stjålet. Denne gang satte Kapersky-folkene opp flere falske offer-datamaskiner rundt om i verden, og fulgte med på hvordan angriperne gikk løs på dem over flere måneder. Dette ga dem tilgang til hundrevis av angrepsmoduler og verktøy.

Selskapet omtaler den tekniske rapporten om «Red October» som kanskje den største forskningsrapporten om skadelig programvare noensinne. De slår også fast at det er den mest komplekse forskningsoppgaven de har tatt på seg, og håper den vil sette en ny standard for hva antivirus-forskning skal bety i dag.

Er på retrett

Etter at nyheten om at ormen var oppdaget sprakk, har angriperne som står bak begynt å legge ned operasjonen. Kontroll- og kommandoinfrastrukturen, som infiserte datamaskiner har sendt data til, er i ferd med å stenges av og forsvinne. Så mange som 60 servere har så langt blitt identifisert i denne strukturen, som nå rakner i sømmene.

Forsvinningsnummeret omfatter ikke bare enkeltstående datamaskiner eller domener, men også hele tjenestetilbydere og registrarer – altså de som utsteder domenenavn – som har vært involvert, er nå lagt ned.

Flesteparten av serverne som har blitt identifisert har befunnet seg i Tyskland og Russland, men etterforskerne ved Kapersky har sagt at dette bare har vært proxymaskiner på første linje. Strukturen bakenfor besto sannsynligvis av flere dusin andre servere, som ble brukt til forskjellige deler av operasjonen.

Dette betyr at «Red October» kan ha et nettverk bak seg på størrelse med det ormen Flame hadde, frem til den fikk selvmordsordre fra sine skapere i fjor sommer.

(Kilde: Pressemelding, Threatpost)

Kommentarer (3)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen