Kaspersky Lab identifica la operacin Octubre Rojo, una campaa de espionaje ciberntico dirigida a instituciones diplomticas y gubernamentales en todo

el mundo
Los atacantes han creado un malware de caractersticas y flexibilidad nicas para robar datos de inteligencia geopoltica en las computadoras, telfonos celulares y equipos de red corporativos de las vctimas

Lea la investigacin completa acerca de Octubre Rojo realizada por los expertos de Kaspersky Lab

Kaspersky Lab public hoy un nuevo informe de investigacin que identifica una escurridiza campaa de espionaje ciberntico que ha tenido como blanco organizaciones diplomticas, gubernamentales y de investigacin cientfica en varios pases durante por lo menos cinco aos. La campaa afecta sobre todo a pases en Europa Oriental, las repblicas de la ex URSS y pases de Asia Central, pero tambin se pueden encontrar vctimas en todas partes, incluyendo Europa Occidental al igual que Norte y Sur Amrica. El principal objetivo de los atacantes es recopilar documentos sensitivos de las organizaciones afectadas, incluyendo informacin de inteligencia geopoltica, credenciales para ingresar en sistemas informticos secretos y datos de dispositivos mviles y equipos de red. En octubre de 2012 el equipo de expertos de Kaspersky Lab inici una investigacin de una serie de ataques realizados contra redes informticas de agencias diplomticas internacionales. Durante la investigacin se descubri y analiz una red de espionaje ciberntico de gran escala. Segn el informe del anlisis realizado por Kaspersky Lab, la operacin Octubre Rojo (Red October), abreviada Rocra segua activa en enero de 2013 y haba estado funcionando sin interrupciones desde el 2007.

Vea la infografa mapa de victimas de Octubre Rojo

Principales descubrimientos de la investigacin

La red avanzada de espionaje ciberntico de Octubre Rojo: Los atacantes han estado activos desde por lo menos el 2007 y se han concentrado en agencias diplomticas y gubernamentales de varios pases en todo el mundo, pero tambin han afectado a instituciones de investigacin, grupos energticos y nucleares, empresas comerciales y agencias aeroespaciales. Los atacantes de Octubre Rojo disearon su propio malware, identificado como Rocra, de una peculiar arquitectura modular consistente en extensiones maliciosas, mdulos de robo de informacin y troyanos-backdoors. Con frecuencia los atacantes usaban informacin filtrada de las redes atacadas como una forma de obtener acceso a otros sistemas. Por ejemplo, las credenciales robadas se ponan en una lista que los atacantes usaban para adivinar contraseas de acceso a sistemas adicionales. Para controlar la red de equipos infectados, los atacantes crearon ms de 60 nombres de dominio y varios servidores de hosting en diferentes pases, la mayora en Alemania y Rusia. El anlisis que hizo Kaspersky Lab del centro de administracin (C2) de la infraestructura muestra que la cadena de servidores funcionaba como proxies que ocultaban la ubicacin real del servidor "madre central. La informacin robada de los sistemas infectados incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. En particular, las extensiones acid* parecen pertenecer al software clasificado Acid Cryptofiler, usado por varias entidades que van desde la Unin Europea hasta la NATO. Infectando vctimas Para infectar los sistemas, los atacantes envan a la vctima un mensaje spearphishing que incluye un dropper troyano hecho a la medida del destinatario. Para instalar el malware e infectar el sistema, el mensaje malicioso incluye exploits para vulnerabilidades de Microsoft Office y Microsoft Excel. Los exploits presentes en los documentos usados en los mensajes spear-phishing fueron creados por otros atacantes y se usaron durante diferentes ataques cibernticos, entre ellos los lanzados contra activistas tibetanos y otros blancos militares y del sector energtico en Asia. La nica modificacin introducida en el documento usado por Rocra es el ejecutable incrustado, que los atacantes reemplazaron por un cdigo propio. Merece la pena destacar que una de las instrucciones del dropper troyano cambiaba el nmero de la pgina de cdigo predeterminada de la sesin de entrada de comandos a 1251, que es la necesaria para usar fuentes cirlicas. Vctimas y organizaciones afectadas Los expertos de Kaspersky Lab usaron dos mtodos para analizar a las vctimas del ataque. En primer lugar, usaron la estadstica de detecciones de Kaspersky Security Network (KSN), que es el servicio de seguridad en la nube que usan los productos de Kaspersky Lab para hacer informes de telemetra y proporcionar una proteccin avanzada en forma de listas negras y reglas heursticas contra todo tipo de amenazas. KSN viene detectando el cdigo del exploit usado en el malware

desde 2011, lo que ha permitido a los expertos de Kaspersky Lab buscar detecciones similares a las de Rocra. El segundo mtodo usado por el equipo de investigacin de Kaspersky Lab fue crear un servidor sinkhole para monitorizar los equipos infectados que se conectaban a los servidores de administracin C2 de Rocra. Los datos obtenidos durante el anlisis realizado usando ambos mtodos brindaron dos modos independientes de correlacionar y confirmar los descubrimientos.

Estadsticas de KSN: Se detectaron varios centenares de sistemas nicos

infectados partiendo de los datos de KSN y su blanco principal eran varias embajadas, redes y organizaciones gubernamentales, institutos de investigacin cientfica y consulados. Segn los datos de KSN, la mayora de las infecciones identificadas estaban ubicadas en Europa Oriental, pero tambin se identificaron otras infecciones en Norte y Sur Amrica y los pases de Europa Occidental, como Suiza y Luxemburgo. Estadsticas del servidor sinkhole: El anlisis realizado por el servidor sinkhole de Kaspersky Lab se realiz desde el 2 de noviembre de 2012 hasta el 10 de enero de 2013. Durante este tiempo se registraron ms de 55.000 conexiones desde 250 direcciones IP infectadas ubicadas en 39 pases. La mayor parte de las conexiones IP infectadas estaban en Suiza, seguida por Kazajstn y Grecia. El malware Rocra: una arquitectura y funcionalidad nicas Los atacantes crearon una plataforma de ataque multifuncional que incluye varias extensiones y archivos maliciosos diseados para adaptarse rpidamente a las configuraciones de diferentes sistemas y recopilar informacin en los equipos infectados. La plataforma es exclusiva de Rocra, y Kaspersky Lab no la ha detectado en ataques de espionaje ciberntico anteriores. Entre sus caractersticas notables estn: Mdulo de resurreccin: Es un mdulo peculiar que permite que los atacantes resuciten los equipos infectados. El mdulo est incrustado en forma de plug-in dentro de los archivos de instalacin de Adobe Reader y Microsoft Office, lo que proporciona a los atacantes una forma fcil de recuperar el acceso al sistema si el cuerpo del malware principal fuese descubierto y borrado, o si se aplicasen parches al sistema. Una vez que los servidores de administracin se ponen en funcionamiento, los atacantes envan un documento especializado (documentos de MS Office o PDF) a los equipos de las vctimas mediante correo electrnico, que activa de nuevo el malware. Mdulos de espionaje criptogrfico avanzados: El principal objetivo de los mdulos de espionaje es robar informacin. Entre los archivos robados estn los de diferentes sistema de criptografa, como Acid Cryptofiler, usado por la NATO, la Unin Europea, el Parlamento Europeo y la Comisin Europea desde verano de 2011 para proteger informacin sensitiva. Dispositivos mviles: Aparte de los blancos tradicionales, como las estaciones de trabajo, el malware puede robar datos de telfonos mviles, como smartphones (iPhone, Nokia y Windows Mobile). El malware tambin puede robar informacin de la configuracin de redes corporativas como routers y conmutadores, como tambin de archivos eliminados de memorias flash.

 Identificacin de los atacantes: Basndonos en los datos de los servidores C2 y los numerosos objetos que quedan en los ejecutables del malware, vemos que hay evidencias claras de que los atacantes tienen origen ruso. Adems, los ejecutables usados por los atacantes eran desconocidos hasta hace poco y los expertos de Kaspersky Lab no los haban detectado durante el anlisis de ataques de espionaje ciberntico anteriores. Kaspersky Lab, en colaboracin con organizaciones internacionales, fuerzas del orden y los Equipos de Respuesta a Emergencias Informticas (Computer Emergency Response Teams, CERT), sigue investigando Rocra, proporcionando su experiencia tcnica y recursos para procedimientos reparacin y de mitigacin. Kaspersky Lab quiere agradecer a: los CERT de EE.UU., Romania y Bielorrusia por su asistencia en la investigacin. Los productos de Kaspersky Lab detectan, neutralizan y curan las consecuencias de los ataques del malware Rocra y lo clasifican como Backdoor.Win32.Sputnik. Para leer la investigacin completa realizada por los expertos de Kaspersky Lab visite http://www.viruslist.es.

Acerca de Kaspersky Lab Kaspersky Lab es el proveedor privado ms grande del mundo de soluciones de proteccin para endpoint. La compaa est calificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoint*. Durante sus 15 aos de historia, Kaspersky Lab ha permanecido un innovador en la seguridad informtica y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeas y medianas empresas y grandes compaas. La compaa actualmente opera en casi 200 pases y territorios alrededor del mundo, ofreciendo proteccin para ms de 300 millones de usuarios a nivel global. Obtenga ms informacin en http://latam.kaspersky.com.
*La compaa logr el cuarto lugar en la clasificacin IDC de los Ingresos por Seguridad de Endpoint en el Mundo por Proveedor, 2011. La clasificacin fue publicada en el reporte IDC del "Pronstico de Productos de Seguridad Informtica en el Mundo, 2012-2016 y de Acciones de Proveedores 2011 - (IDC #235930, Julio de 2012). El reporte calific a los proveedores de software segn sus ganancias por las ventas de soluciones de seguridad de terminales en 2011.