البرامج الضارة الأحمر أكتوبر اكتشفت بعد سنوات من سرقة البيانات في البرية

مجموعة غامضة من المتسللين وتحويله بيانات الاستخبارات في جميع أنحاء العالم من الدبلوماسية، والحكومة، وشبكات الحاسوب البحث العلمي لأكثر من خمس سنوات، بما في ذلك أهداف في الولايات المتحدة، وفقا ل تقرير من شركة "كاسبرسكي لاب".

بدأت شركة "كاسبرسكي لاب" البحث عن هجمات البرمجيات الخبيثة في أكتوبر الماضي وأطلق عليها اسم "روكرا" ، وهي اختصار لـ "أكتوبر الأحمر". وتستخدم "روكرا" عددًا من الثغرات الأمنية في أنواع مستندات Microsoft Excel و Word و PDF لتصيب أجهزة الكمبيوتر والهواتف الذكية وأجهزة شبكات الكمبيوتر. في يوم الثلاثاء اكتشف الباحثون أن منصة البرمجيات الخبيثة تستخدم أيضا مآثر جافا المستندة إلى الويب.

ليس من الواضح من يقف وراء الهجمات ، لكن روكرا تستخدم على الأقل ثلاثة مآثر معروفة علنا ​​أنشأها في الأصل قراصنة صينيون. برمجة Rocra، ومع ذلك، يبدو أن من مجموعة منفصلة من عناصر الناطقين بالروسية، وفقا لتقرير صادر عن شركة كاسبرسكي لاب

. [لمزيد من القراءة: PC الجديد الخاص بك يحتاج هؤلاء 15 مجانا، برامج ممتازة]

والهجمات مستمرة وتستهدف المؤسسات رفيعة المستوى فيما يعرف باسم هجمات الصيد بالرمح. ويقدر كاسبيرسكي أن هجمات أكتوبر الأحمر قد حصلت على الأرجح على مئات تيرابايت من البيانات في الوقت الذي كانت تعمل فيه ، وهو ما يمكن أن يكون في وقت مبكر من مايو 2007.

تم اكتشاف إصابات الروكرا في أكثر من 300 دولة بين عامي 2011 و 2012 ، على معلومات من منتجات مكافحة الفيروسات من Kaspersky. كانت البلدان المتأثرة في المقام الأول أعضاء سابقين في اتحاد الجمهوريات الاشتراكية السوفياتية ، بما في ذلك روسيا (35 إصابة) ، وكازاخستان (21) ، وأذربيجان (15).

بلدان أخرى مع عدد كبير من الإصابات تشمل بلجيكا (15) ، الهند (14) ، أفغانستان (10) ، وأرمينيا (10). تم الكشف عن ستة إصابات في السفارات الموجودة في الولايات المتحدة. نظرًا لأن هذه الأرقام تأتي فقط من أجهزة تستخدم برنامج Kaspersky ، قد يكون العدد الحقيقي للإصابات أعلى من ذلك بكثير.

خذ كل شيء

قال كاسبرسكي أن البرمجيات الخبيثة المستخدمة في Rocra يمكنها سرقة البيانات من محطات عمل الكمبيوتر الشخصي والهواتف الذكية المتصلة بالكمبيوتر بما في ذلك هواتف iPhone و Nokia و Windows Mobile. يمكن لـ Rocra الحصول على معلومات تكوين الشبكة من الأجهزة التي تحمل علامة Cisco ، والاستيلاء على الملفات من محركات الأقراص القابلة للإزالة ، بما في ذلك البيانات المحذوفة.

يمكن للنظام الأساسي الخبيث أيضًا سرقة رسائل البريد الإلكتروني والمرفقات ، وتسجيل جميع ضغطات المفاتيح على جهاز مصاب ، التقاط لقطات الشاشة ، والاستيلاء على سجل التصفح من متصفحات Chrome و Firefox و Internet Explorer و Opera Web. وكأن ذلك لم يكن كافيا، وأيضا الاستيلاء على Rocra الملفات المخزنة على خوادم FTP الشبكة المحلية، ويمكن تكرار نفسه عبر الشبكة المحلية.

الاسمية للدورة

على الرغم من قدرات Rocra لتظهر واسعة، وليس الجميع في المجال الأمني أعجبت بأساليب روكرا للهجوم. وقالت شركة F-Secure الأمنية في مدونتها: "يبدو أن المآثر المستخدمة لم تكن متقدمة بأي حال من الأحوال". "استخدم المهاجمون مآثر قديمة ومعروفة في Word و Excel و Java. حتى الآن ، لا توجد أية علامات على وجود ثغرات في يوم الصفر. "يشير الضعف إلى الصفر في اليوم إلى مآثر غير معروفة في السابق تم اكتشافها في البرية.

على الرغم من عدم تأثرها بقدراتها الفنية ، تقول إف سيكيور إن هجمات أكتوبر الأحمر مثيرة للاهتمام بسبب طول الوقت الذي نشطت فيه Rocra ونطاق التجسس الذي قامت به مجموعة واحدة. "ومع ذلك ،" أضاف F-Secure. "الحقيقة المحزنة هي أن الشركات والحكومات تتعرض باستمرار لهجمات مماثلة من العديد من المصادر المختلفة."

يبدأ Rocra عندما يقوم الضحية بتنزيل وفتح ملف إنتاج ضار (Excel ، Word ، PDF) يمكنه استرداد المزيد من البرامج الضارة من Rocra خوادم القيادة والتحكم ، وهي طريقة تعرف باسم قطارة طروادة. تتضمن هذه الجولة الثانية من البرامج الضارة البرامج التي تجمع البيانات وترسل هذه المعلومات إلى المتسللين.

يمكن أن تحتوي البيانات المسروقة على أنواع ملفات يومية مثل النص العادي ، والنص المنسق ، و Word ، و Excel ، ولكن هجمات Red October أيضًا تذهب بعد بيانات تشفير مثل ملفات pbp و gpg المشفرة

بالإضافة إلى ذلك ، تبحث Rocra عن الملفات التي تستخدم امتدادات "حمض Cryptofile" ، وهو برنامج التشفير المستخدمة من قبل الحكومات والمنظمات بما في ذلك الاتحاد الأوروبي ومنظمة حلف شمال الأطلسي. من غير الواضح ما إذا كان الأشخاص الذين يقفون وراء Rocra قادرون على فك رموز أي بيانات مشفرة يحصلون عليها.

إعادة إرسال البريد الإلكتروني

كما أن Rocra مقاومة بشكل خاص للتدخل من تطبيق القانون ، وفقًا لما ذكره كاسبرسكي. إذا تم إغلاق خوادم القيادة والتحكم في الحملة ، قام المتسللون بتصميم النظام بحيث يمكنهم استعادة السيطرة على نظامهم الأساسي مع بريد إلكتروني بسيط.

أحد مكونات Rocra يبحث عن أي مستند PDF أو Office الوارد يحتوي على تعليمات برمجية قابلة للتنفيذ ويتم وضع علامة عليها بعلامات بيانات وصفية خاصة. وستقوم الوثيقة بتمرير جميع الفحوصات الأمنية ، كما تقول كاسبرسكي ، ولكن بمجرد أن يتم تنزيلها وفتحها ، يمكن أن تبدأ Rocra تطبيقًا ضارًا يرفق بالمستند ويستمر في تغذية البيانات للأشرار. باستخدام هذه الخدعة ، يجب على كل الهاكرز أن يقوموا بإعداد بعض الخوادم الجديدة والوثائق الخبيثة عبر البريد الإلكتروني للضحايا السابقين للعودة إلى العمل.

تم إعداد خوادم Rocra كسلسلة من الوكلاء (الخوادم التي تختبئ خلف خوادم أخرى) ، مما يزيد من صعوبة اكتشاف مصدر الهجمات. يقول Kasperksy تعقيد منافع البنية التحتية في Rocra أن من البرامج الضارة Flame ، التي كانت تستخدم أيضا لإصابة أجهزة الكمبيوتر الشخصية وسرقة البيانات الحساسة. لا توجد علاقة معروفة بين Rocra أو Flame أو البرامج الضارة مثل Duqu ، والتي بنيت على رمز مشابه لـ Stuxnet.

كما لاحظت F-Secure ، لا يبدو أن هجمات أكتوبر الأحمر تقوم بأي شيء جديد بشكل خاص ، لكن مقدار الوقت الذي كانت فيه حملة البرامج الضارة هذه في البرية أمر مثير للإعجاب. على غرار حملات التجسس السيبرانية الأخرى مثل Flame ، يعتمد Red October على خداع المستخدمين إلى تنزيل وفتح ملفات ضارة أو زيارة مواقع ويب خبيثة حيث يمكن إدخال الشفرات إلى أجهزتهم. هذا يشير إلى أنه في حين أن التجسس على الكمبيوتر قد يكون في تصاعد ، يمكن لأساسيات أمن الكمبيوتر أن تقطع شوطا طويلا لمنع هذه الهجمات.

اتخاذ الاحتياطات

الاحتياطات المفيدة مثل كونها حذرة من الملفات من المرسلين غير معروفين أو مشاهدة ل الملفات التي هي خارج الحرف من مرسلها المزعوم هي بداية جيدة. من المفيد أيضًا الحذر من زيارة مواقع الويب التي لا تعرفها أو تثق بها ، خاصة عند استخدام معدات الشركة. أخيرًا ، تأكد من حصولك على أحدث تحديثات الأمان لإصدار Windows لديك ، وأن تفكر بجدية في إيقاف تشغيل Java إلا إذا كنت في حاجة إليها تمامًا. قد لا تتمكن من منع جميع أنواع الهجمات ، لكن الالتزام بممارسات الأمان الأساسية يمكن أن يحميك من العديد من الممثلين السيئين عبر الإنترنت.

يقول Kaspersky أنه ليس من الواضح ما إذا كانت هجمات أكتوبر الأحمر هي عمل دولة أو مجرمين لبيع البيانات الحساسة في السوق السوداء. وتعتزم الشركة الأمنية إصدار المزيد من المعلومات حول Rocra في الأيام القادمة.

إذا كنت قلقًا بشأن ما إذا كان أي من الأنظمة لديك متأثرًا بشركة Rocra ، فإن F-Secure تقول أن برنامج مكافحة الفيروسات لديها يمكنه اكتشاف عمليات الاستغلال المعروفة حاليًا المستخدمة في هجمات أكتوبر الأحمر. يمكن لبرنامج مكافحة الفيروسات Kaspersky كشف التهديدات من Rocra.