Τεχνολογία-Επιστήμη
Τρίτη, 15 Ιανουαρίου 2013 16:00

Το κυνήγι του διαδικτυακού «Κόκκινου Οκτώβρη»

Μία «κερκόπορτα» στην ευρύτατα χρησιμοποιούμενη πλατφόρμα λογισμικού Java φαίνεται πως χρησιμοποίησαν οι χάκερ της μεγάλης κλίμακας διαδικτυακής επιχείρησης κυβερνοεπίθεσης που χαρακτηρίζεται πλέον ως «Επιχείρηση Κόκκινος Οκτώβρης» (Red October- από το διάσημο ψυχροπολεμικό μυθιστόρημα του Τομ Κλάνσι).

Μία «κερκόπορτα» στην ευρύτατα χρησιμοποιούμενη πλατφόρμα λογισμικού Java φαίνεται πως χρησιμοποίησαν οι χάκερ της μεγάλης κλίμακας διαδικτυακής επιχείρησης κυβερνοεπίθεσης που χαρακτηρίζεται πλέον ως «Επιχείρηση Κόκκινος Οκτώβρης» (Red October- από το διάσημο ψυχροπολεμικό μυθιστόρημα του Τομ Κλάνσι).

Σύμφωνα με δημοσίευμα του Ars Technica, ο Αβίβ Ραφ, ερευνητής της ισραηλινής Seculert, δήλωσε πως βρήκε μία ιστοσελίδα που χρησιμοποιήθηκε για να μολυνθούν οι υπολογιστές κάποιων από τα θύματα του «Κόκκινου Οκτώβρη». Όπως αναφέρει, η σελίδα εκμεταλλεύτηκε ένα τρωτό σημείο, που χαρακτηρίζεται ως CVE-2011-3544, κάτι που επέτρεψε στους δράστες να ενεργοποιήσουν κακόβουλο κώδικα στους υπολογιστές των θυμάτων τους (παρά το ότι το συγκεκριμένο πρόβλημα είχε διορθωθεί τον Οκτώβριο του 2011).

Η ανακάλυψη του Ραφ ενδεχομένως να επιτρέψει το ξεκίνημα του ξετυλίγματος του «μίτου» της επιχείρησης, η οποία συγκέντρωνε κωδικούς, «κλειδιά» κρυπτογράφησης και εμπιστευτικά διπλωματικά δεδομένα από κάποιες από τις μεγαλύτερες κυβερνήσεις του κόσμου. Όπως αναφέρθηκε, υπάρχουν ομοιότητες με την περίπτωση του Flame, του malware που χρησιμοποιήθηκε κατά υπολογιστών στο Ιράν. Κατά τον Ραφ, η ανακάλυψή του οφείλεται σε αβλεψίες των χάκερ οι οποίοι έστησαν την ιστοσελίδα- «παγίδα».

Ο «Κόκκινος Οκτώβρης» διήρκεσε τουλάχιστον πέντε χρόνια, και είχε ως στόχους διπλωμάτες, κυβερνήσεις και ιδρύματα σε όλο τον κόσμο, με έμφαση στην ανατολική Ευρώπη και την κεντρική Ασία. Ανακαλύφθηκε από Ρώσους ερευνητές της Kaspersky Lab, που της έδωσαν το όνομα του «αθόρυβου» σοβιετικού υποβρυχίου βαλλιστικών πυραύλων του προαναφερθέντος βιβλίου. Όπως αναφέρει το Wired, βρίσκεται ακόμα σε εξέλιξη, συγκεντρώνοντας δεδομένα από υπολογιστές, smartphones και συσκευές αποθήκευσης.

Συνολικά εκτιμάται πως επλήγησαν στόχοι σε 69 χώρες: πέρα από την ανατολική Ευρώπη και την κεντρική Ασία, βρέθηκαν θύματα στις ΗΠΑ, την Αυστραλία, την Ιρλανδία, την Ελβετία, το Βέλγιο, τη Βραζιλία, την Ισπανία, τη Νότια Αφρική, την Ιαπωνία και τα Ηνωμένα Αραβικά Εμιράτα. Σε κάθε περίπτωση, η Kaspersky χαρακτηρίζει τους στόχους ως «υψηλού προφίλ», αλλά αποφεύγει να τους καταδείξει, αρκούμενη στο να πει ότι πρόκειται για κυβερνητικές υπηρεσίες, πρεσβείες, ιδρύματα που εμπλέκονται σε έρευνες ενέργειας (πυρηνικής ή μη) και εταιρείες στις βιομηχανίες πετρελαίου και αεροδιαστημικής.

Οι αυτουργοί θεωρείται πως είναι άτομα που έχουν ως μητρική γλώσσα τη ρωσική και έχουν στήσει ένα εκτεταμένο και εξαιρετικά σύνθετο δίκτυο/ υποδομή, με μία αλυσίδα από τουλάχιστον 60 servers διοικήσεως και ελέγχου. Στο πλαίσιο του στησίματος του «Κόκκινου Οκτώβρη» φέρεται να χρησιμοποιήθηκε και δουλειά Κινέζων χάκερ. Η Kaspersky στην αναφορά της λέει πως ο κύριος σκοπός της επιχείρησης φαίνεται να είναι η συγκέντρωση απόρρητων δεδομένων και γεωπολιτικών πληροφοριών. Τα θύματα- στόχοι περιγράφονται ως «εκατοντάδες», ενώ είναι άγνωστο πώς χρησιμοποιήθηκαν τα δεδομένα.Ωστόσο, θεωρείται πως δεν υπάρχει σύνδεση με τις περιπτώσεις Flame, Gauss και DuQu, παρά τις ομοιότητες που παρατηρούνται σε κάποιες περιπτώσεις.

Μέχρι τώρα, δεν υπάρχει ένδειξη περί εμπλοκής της κυβέρνησης κάποιου κράτους, και θεωρείται πιθανότερο πως πρόκειται για τη δουλειά κυβερνοεγκληματιών ή «ελεύθερων» πρακτόρων, που σκοπεύουν να προσφέρουν τις πληροφορίες για πώληση στη μαύρη αγορά, πουλώντας τες στον μεγαλύτερο πλειοδότη.

Το malware που χρησιμοποιήθηκε είναι «σπονδυλωτής» κατασκευής και είναι παραμετροποιήσιμο για την κάθε ξεχώριστη περίπτωση στόχου. Το κάθε «κομμάτι» του λογισμικού εξειδικεύεται σε διαφορετική λειτουργία (κλοπή κωδικών, ιστορικών, παρακολούθηση πληκτρολόγησης, screenshots, παρακολούθηση αλληλεπίδρασης με smartphones και κλοπή των δεδομένων και από εκεί κλπ).

Η Kaspersky δεν έχει δώσει ακόμα λεπτομερείς πληροφορίες σχετικά με το πώς ακριβώς εντόπισε την επιχείρηση, πέρα από το ότι κάποιος τον περασμένο Οκτώβριο ζήτησε διερεύνηση μίας εκστρατείας «spear-phishing» και του αρχείου που τη συνόδευε, κάτι που οδήγησε στον εντοπισμό του «Κόκκινου Οκτώβρη». Κατά την εταιρεία, πρόκειται για μία επιχείρηση πολύ πιο εκτεταμένη σε σχέση με αντίστοιχες του παρελθόντος, όπως η Aurora και ο Night Dragon.