Kaspersky phát hiện mã độc nguy hiểm “Red October”

29/01/2013 01:00:00

Hãng bảo mật Kaspersky vừa phát hiện ra một loại mã độc nguy hiểm nhắm đến chính phủ nhiều nước nhằm đánh cắp các tài liệu mật, trong đó có những tính năng “độc” mà chưa từng xuất hiện trên bất kỳ loại mã độc nào khác từ trước đến nay.

Mạng lưới gián điệp mạng nâng cao Red October

“Red October” thường sử dụng các thông tin từ các mạng bị nhiễm như là một cách để xâm nhập vào các hệ thống bổ sung. Ví dụ, các thông tin bảo mật bị đánh cắp được biên soạn trong một danh sách và được sử dụng khi những kẻ tấn công cần đoán mật khẩu hay các cụm từ để đạt được quyền truy cập vào hệ thống bổ sung.

Phạm vi ảnh hưởng của Red October tính cho đến thời điểm hiện tại

Để kiểm soát mạng lưới các máy tính bị nhiễm, những kẻ tấn công đã tạo ra hơn 60 tên miền và một số máy chủ lưu trữ, tập trung vào các cơ quan ngoại giao và chính phủ của các quốc gia khác nhau trên toàn thế giới, bên cạnh các tổ chức nghiên cứu, nhóm năng lượng hạt nhân và mục tiêu thương mại cũng như hàng không vũ trụ chủ yếu là ở Đức và Nga. Theo phân tích của Kaspersky Lab về cơ sở hạ tầng của Rocra’s Command & Control (C2) cho thấy rằng chuỗi các máy chủ đã được thay đổi thông tin xác thực nhằm giấu vị trí của trung tâm đầu não.

Thông tin bị đánh cắp từ các hệ thống bị nhiễm bao gồm các tài liệu có phần mở rộng: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Đặc biệt, các tập tin “acid*” mở rộng xuất hiện để chỉ phần mềm phân loại “Acid Cryptofiler”, được sử dụng bởi một số các thực thể, từ Liên minh châu Âu của NATO.

Những tính năng “độc” chưa từng có của Red October

Mục đích chính của các mô-đun gián điệp là ăn cắp thông tin

Một mô-đun duy nhất cho phép kẻ tấn công khôi phục lại máy tính bị nhiễm. Mô-đun này được chèn vào như một phần hỗ trợ giúp kết nối hệ thống được thiết lập trong việc cài đặt Adobe Reader và Microsoft Office và cung cấp cho những kẻ tấn công một cách rõ ràng để lấy lại quyền truy cập vào một mục tiêu hệ thống nếu phần chính của phần mềm độc hại được phát hiện và loại bỏ, hoặc nếu hệ thống được vá lỗi. Một khi các C2s hoạt động trở lại, những kẻ tấn công gửi một tập tin tài liệu chuyên ngành (PDF hoặc tài liệu Office) cho các máy tính của nạn nhân qua e-mail và sẽ kích hoạt các phần mềm độc hại một lần nữa.

Mục đích chính của các mô-đun gián điệp là ăn cắp thông tin. Tổ hợp này bao gồm các tập tin từ hệ thống mật mã khác nhau, chẳng hạn như Acid Cryptofiler, được biết là sẽ được sử dụng trong các tổ chức của NATO, Liên minh châu Âu, Nghị viện châu Âu và Ủy ban châu Âu kể từ mùa hè năm 2011 để bảo vệ các thông tin nhạy cảm.

Ngoài nhắm mục tiêu đến các máy truyền thống, Red October có khả năng đánh cắp dữ liệu từ các thiết bị di động, chẳng hạn như các loại smartphone (iPhone, Nokia và Windows Mobile). Red October cũng có khả năng ăn cắp thông tin cấu hình từ các thiết bị mạng doanh nghiệp chẳng hạn như các thiết bị định tuyến và chuyển mạch, cũng như các tập tin đã bị xóa từ ổ đĩa di động.

Dựa trên các dữ liệu đăng ký máy chủ C2 và rất nhiều các dấu vết còn lại trong các tập tin thực thi của Red October, có bằng chứng kỹ thuật rõ ràng cho thấy những kẻ tấn công có nguồn gốc là người nói tiếng Nga. Ngoài ra, các tập tin thực thi được sử dụng bởi những kẻ tấn công chưa được biết cho đến gần đây, và không được xác định bởi các chuyên gia của Kaspersky Lab trong khi phân tích các cuộc tấn công gián điệp mạng trước.

Phần mềm độc hại Red October hiện đã bị tiêu diệt và khắc phục thành công bởi các sản phẩm của Kaspersky Lab và được phân loại là Backdoor.Win32.Sputnik.

Kaspersky Care