Nyhet

Superormen stjeler «alt»

«Red October» tar det meste, men trekker seg nå tilbake.

Forrige uke omtalte vi den nyoppdagede typen ondsinnet programvare døpt «Red October», oppkalt etter den russiske revolusjonen i 1918, og forkortet Rocra.

Ormen har vært aktiv i fem år før den ble oppdaget, og nå er det klart hvilken informasjon den har tappet. Listen er ikke hyggelig lesing for de rammede.

Tar «alt»

Modulene til ormen er det som blir brukt til å infisere ofrenes systemer, samle inn data fra og sende opplysningene til inntrengernes kommando- og kontrollsentre.

Listen med triks som «Red October» benytter er lang, og dette er noen av dem:

  • Nettleserhistorikk fra Chrome, Firefox, Internet Explorer og Opera
  • Lagrede passord til nettsider, FTP-servere, e-postkontoer og chattetjenester
  • Filer fra FTP-servere (ved hjelp av stjålne passord)
  • Informasjon og e-poster fra Microsoft Outlook
  • Filer fra eksterne USB-disker, inkludert slettede filer
  • Skjermdumper og avlesning av tastaturtrykk
  • Informasjon om installert programvare
  • Informasjon om nettverkskonfigurasjon – så andre maskiner på nettverket kan smittes
  • Liste over delte filer på nettverket
  • Stjeler data fra iPhone og Nokia-telefoner når de er koblet til, og infiserer Windows-telefoner

Mer inngående informasjon finnes i den tekniske rapporten, som består av mer enn 140 sider med teknisk analyse.

Mest inngående noen gang

Det var etterforskere i det russiske sikkerhetsselskapet Kapersky Labs som oppdaget ormen, som i hovedsak har rammet diplomatiske, offentlige og forskningsdatamaskiner. Da den første rapporten ble sluppet kjente de til omkring 300 infiserte datamaskiner, og del to av rapporten inneholder detaljert teknisk informasjon om de forskjellige modulene.

Ifølge pressemeldingen som fulgte rapporten vet ikke Kapersky Labs om noe kyberspionasjeangrep som har blitt analysert så grundig som dette, med fokus på modulene brukt i angrepet. I de fleste tilfeller blir analyser vanskeliggjort av mangel på tilgang til ofrenes data, og forskerne får bare se noen av modulene i sving.

Dette fører til at forskerne ikke får full forståelse for hva som var hensikten med angrepet, eller hvilke data som ble stjålet. Denne gang satte Kapersky-folkene opp flere falske offer-datamaskiner rundt om i verden, og fulgte med på hvordan angriperne gikk løs på dem over flere måneder. Dette ga dem tilgang til hundrevis av angrepsmoduler og verktøy.

Selskapet omtaler den tekniske rapporten om «Red October» som kanskje den største forskningsrapporten om skadelig programvare noensinne. De slår også fast at det er den mest komplekse forskningsoppgaven de har tatt på seg, og håper den vil sette en ny standard for hva antivirus-forskning skal bety i dag.

Er på retrett

Etter at nyheten om at ormen var oppdaget sprakk, har angriperne som står bak begynt å legge ned operasjonen. Kontroll- og kommandoinfrastrukturen, som infiserte datamaskiner har sendt data til, er i ferd med å stenges av og forsvinne. Så mange som 60 servere har så langt blitt identifisert i denne strukturen, som nå rakner i sømmene.

Forsvinningsnummeret omfatter ikke bare enkeltstående datamaskiner eller domener, men også hele tjenestetilbydere og registrarer – altså de som utsteder domenenavn – som har vært involvert, er nå lagt ned.

Flesteparten av serverne som har blitt identifisert har befunnet seg i Tyskland og Russland, men etterforskerne ved Kapersky har sagt at dette bare har vært proxymaskiner på første linje. Strukturen bakenfor besto sannsynligvis av flere dusin andre servere, som ble brukt til forskjellige deler av operasjonen.

Dette betyr at «Red October» kan ha et nettverk bak seg på størrelse med det ormen Flame hadde, frem til den fikk selvmordsordre fra sine skapere i fjor sommer.

(Kilde: Pressemelding, Threatpost)

Les også
Microsoft og FBI til storaksjon mot massivt svindel-nettverk
Les også
De 10 verste virusene opp gjennom historien
Les også
Facebook utsatt for sofistikert hackerangrep
Les også
Øystat vil starte piratside for å «straffe USA»
Les også
Fant ny superorm som utnytter Word og Excel
Les også
Sikkerhetshull lar hackere ta over maskinen
Les også
Vil la politiet hacke seg inn i PC-er
Les også
Kaspersky lager idiotsikkert operativsystem
Les også
Massivt cyberangrep pågår i Midtøsten
annonse