Malware de octubre rojo descubierto después de años de robar datos en la naturaleza

Un sombrío grupo de hackers ha desviado datos de inteligencia de redes de computadoras diplomáticas, gubernamentales y de investigación científica en todo el mundo por más de cinco años, incluyendo objetivos en los Estados Unidos, según un informe de Kaspersky Lab.

Kaspersky Lab comenzó a investigar los ataques de malware en octubre y los denominó "Rocra", abreviatura de "Octubre rojo". Rocra usa una serie de vulnerabilidades de seguridad en los documentos de Microsoft Excel, Word y PDF para infectar PC, teléfonos inteligentes y equipos de redes informáticas. El martes los investigadores descubrieron que la plataforma de malware también usa vulnerabilidades Java basadas en la Web.

No está claro quién está detrás de los ataques, pero Rocra usa al menos tres exploits conocidos públicamente originalmente creados por hackers chinos. La programación de Rocra, sin embargo, parece ser de un grupo separado de operarios de habla rusa, según el informe de Kaspersky Lab.

[Más información: Su nueva PC necesita estos 15 programas gratuitos, excelentes]

Los ataques son en curso y dirigido a instituciones de alto nivel en lo que se conoce como ataques de pesca con lanza. Kaspersky estima que los ataques del Octubre Rojo probablemente obtuvieron cientos de terabytes de datos en el tiempo que ha estado operando, lo que podría ocurrir ya en mayo de 2007.

Se descubrieron infecciones de Rocra en más de 300 países entre 2011 y 2012, sobre la información de los productos antivirus de Kaspersky. Los países afectados eran principalmente antiguos miembros de la URSS, incluidos Rusia (35 infecciones), Kazajstán (21) y Azerbaiyán (15).

Otros países con un alto número de infecciones son Bélgica (15), India (14), Afganistán (10) y Armenia (10). Seis infecciones fueron descubiertas en las embajadas ubicadas en los Estados Unidos. Debido a que estos números provienen solo de máquinas que usan el software Kaspersky, la cantidad real de infecciones podría ser mucho mayor.

Tómelo todo

Kaspersky dijo que el malware utilizado en Rocra puede robar datos de estaciones de trabajo de PC y teléfonos inteligentes conectados a computadoras, incluido el iPhone, Nokia y teléfonos con Windows Mobile. Rocra puede adquirir información de configuración de red del equipo de marca Cisco y tomar archivos de unidades de disco extraíbles, incluidos datos eliminados.

La plataforma de malware también puede robar mensajes de correo electrónico y archivos adjuntos, registrar todas las teclas de una máquina infectada, tomar capturas de pantalla, y aprovechar el historial de navegación de los navegadores web de Chrome, Firefox, Internet Explorer y Opera. Como si eso no fuera suficiente, Rocra también captura archivos almacenados en servidores FTP de red local y puede replicarse en una red local.

Par para el curso

Aunque las capacidades de Rocra parecen amplias, no todas en el campo de seguridad quedó impresionado por los métodos de ataque de Rocra. "Parece que los exploits utilizados no estaban avanzados de ninguna manera", dijo la firma de seguridad F-Secure en su blog de la compañía. "Los atacantes usaron exploits viejos, bien conocidos de Word, Excel y Java. Hasta el momento, no hay signos de vulnerabilidades de día cero. "Una vulnerabilidad de día cero se refiere a exploits desconocidos previamente descubiertos en la naturaleza.

A pesar de no estar impresionado por su capacidad técnica, F-Secure dice que los ataques de Octubre Rojo son interesantes debido a la cantidad de tiempo que Rocra ha estado activo y la escala del espionaje realizada por un solo grupo. "Sin embargo," agregó F-Secure. "La triste verdad es que las empresas y los gobiernos sufren constantemente ataques similares de muchas fuentes diferentes".

Rocra comienza cuando una víctima descarga y abre un archivo de productividad malicioso (Excel, Word, PDF) que luego puede recuperar más malware de Rocra servidores de comando y control, un método conocido como cuentagotas troyano. Esta segunda ronda de malware incluye programas que recopilan datos y envían esa información a los piratas informáticos.

Los datos robados pueden incluir tipos de archivos cotidianos como texto sin formato, texto enriquecido, Word y Excel, pero los ataques de octubre rojo también van tras datos criptográficos como archivos encriptados pgp y gpg.

Además, Rocra busca archivos que usen Extensiones de "Acid Cryptofile", que es un software criptográfico utilizado por gobiernos y organizaciones, incluidas la Unión Europea y la Organización del Tratado del Atlántico Norte. No está claro si las personas detrás de Rocra son capaces de descifrar cualquier información encriptada que obtengan.

E-mail renacimiento

Según Kaspersky, Rocra también es particularmente resistente a las interferencias de las fuerzas del orden público. Si los servidores de comando y control de la campaña se cerraron, los hackers diseñaron el sistema para que puedan recuperar el control de su plataforma de malware con un simple correo electrónico.

Uno de los componentes de Rocra busca cualquier documento PDF o de Office entrante que contiene código ejecutable y está marcado con etiquetas de metadatos especiales. El documento pasará todas las comprobaciones de seguridad, dice Kaspersky, pero una vez que se descarga y se abre, Rocra puede iniciar una aplicación maliciosa adjunta al documento y continuar alimentando datos a los malos. Usando este truco, todos los hackers tienen que hacer es configurar nuevos servidores y enviar por correo electrónico documentos maliciosos a las víctimas anteriores para volver a funcionar.

Los servidores de Rocra están configurados como una serie de servidores proxy (servidores escondidos detrás de otros servidores).), lo que hace que sea mucho más difícil descubrir la fuente de los ataques. Kasperksy dice que la complejidad de la infraestructura de Rocra rivaliza con la del malware Flame, que también se usó para infectar PC y robar datos confidenciales. No existe una conexión conocida entre Rocra, Flame o malware como Duqu, que se construyó sobre un código similar a Stuxnet.

Como señaló F-Secure, los ataques de Octubre Rojo no parecen estar haciendo algo particularmente nuevo, pero la cantidad de tiempo que esta campaña de malware ha estado en la naturaleza es impresionante. De forma similar a otras campañas de ciberespionaje como Flame, Red October depende de engañar a los usuarios para que descarguen y abran archivos maliciosos o visiten sitios web maliciosos donde se puede inyectar código en sus dispositivos. Esto sugiere que, si bien el espionaje informático puede estar en aumento, los principios básicos de la seguridad informática pueden ser de gran ayuda para prevenir estos ataques.

Tome precauciones

Precauciones útiles como desconfiar de archivos de remitentes desconocidos o vigilar los archivos que están fuera del carácter de su supuesto remitente es un buen comienzo. También es útil tener cuidado con visitar sitios web que no conoce o en los que no confía, especialmente cuando usa equipos corporativos. Por último, asegúrese de tener todas las actualizaciones de seguridad más recientes para su versión de Windows, y considere seriamente desactivar Java a menos que realmente lo necesite. Es posible que no pueda evitar todo tipo de ataques, pero seguir las prácticas de seguridad básicas puede protegerlo de muchos malos actores en línea.

Kaspersky dice que no está claro si los ataques del Octubre Rojo son obra de un estado nación o delincuentes para vender datos confidenciales en el mercado negro. La compañía de seguridad planea lanzar más información sobre Rocra en los próximos días.

Si le preocupa si alguno de sus sistemas se ve afectado por Rocra, F-Secure dice que su software antivirus puede detectar los exploits actualmente conocidos que se usan en el Ataques de octubre rojo. El software antivirus de Kaspersky también puede detectar amenazas de Rocra.