Video: Hoe de neanderthaler op mysterieuze wijze van de aarde verdween (November 2024)
Kaspersky Lab publiceerde het eerste van een tweedelig rapport over 'Red October', een malware-aanval waarvan het bedrijf denkt dat deze op hoog niveau overheidssystemen in heel Europa besmet en specifiek gericht kan zijn op geclassificeerde documenten. Volgens het rapport zijn de gestolen gegevens in de orde van 'honderden Terabytes' en zijn ze ongeveer vijf jaar grotendeels onopgemerkt gebleven.
Red October of 'Rocra' ontleent zijn naam aan de maand waarin het voor het eerst werd ontdekt en de titulaire stille Russische onderzeeër bedacht door auteur Tom Clancy. Je kunt over Red October en de achtergrond ervan kijken op PC Mag.
Specifiek gerichte aanvallen
Het rapport beschrijft Rode Oktober als een "kader", dat snel kan worden opgewaardeerd om te profiteren van de zwakke punten van zijn slachtoffers. De aanvallers begonnen hun aanval met spearphising e-mails of geïnfecteerde documenten op maat gemaakt om hun doelen aan te spreken. Eenmaal geïnfecteerd, zouden de indringers informatie over het systeem verzamelen voordat ze specifieke modules installeren om de inbraak te vergroten. Kaspersky telde ongeveer 1.000 van dergelijke unieke bestanden die in ongeveer 30 categorieën modules vielen.
Dit is een heel andere aanpak dan Flame of andere head-grabbing malware. Het rapport zegt: "Er is een hoge mate van interactie tussen de aanvallers en het slachtoffer - de operatie wordt bepaald door het soort configuratie dat het slachtoffer heeft, welk type documenten het gebruik, de geïnstalleerde software, de moedertaal enzovoort."
"In vergelijking met Flame en Gauss, die sterk geautomatiseerde campagnes voor cyberespionage zijn, is Rocra veel 'persoonlijker' en fijn afgestemd op de slachtoffers", schrijft Kaspersky.
De aanvallers waren net zo sluw als methodisch en veranderden in feite de tactiek om gestolen informatie te gebruiken. "Informatie verzameld uit geïnfecteerde netwerken wordt hergebruikt in latere aanvallen", schrijft Kaspersky. "Bijvoorbeeld, gestolen gegevens werden verzameld in een lijst en gebruikt wanneer de aanvallers wachtwoorden en netwerkgegevens op andere locaties moesten raden."
Blijf van de radar af
Dit soort gerichte aanvallen zorgde er niet alleen voor dat degenen achter Red October achter doelen op hoog niveau aan gingen, maar hielp ook de operatie jarenlang onopgemerkt te blijven. "De combinatie van zeer bekwame, goed gefinancierde aanvallers en een beperkte distributie betekent dat malware in het algemeen gedurende een aanzienlijke periode onder de radar kan blijven", vertelde Kaspersky senior onderzoeker Roel Schouwenberg aan SecurityWatch . "Bovendien hebben we geen zero-day kwetsbaarheden gezien, wat opnieuw laat zien hoe belangrijk patching is."
Schouwenberg zei verder dat meerdere beveiligingslagen dit soort aanvallen kunnen blokkeren. Hij vertelde SecurityWatch : "Dit is de reden waarom diepgaande verdediging belangrijk is en dat benaderingen zoals standaard weigering, witte lijst en applicatiebeheer een rol spelen. Aanvallen kunnen worden gestopt, zelfs zonder exacte detectie."
Niet noodzakelijk het werk van naties
Ondanks de doelen op hoog niveau benadrukt Kaspersky dat er geen definitief verband is met een door de staat gesponsorde aanval. Het rapport zegt dat hoewel de beoogde informatie waardevol kan zijn voor landen, "dergelijke informatie in de ondergrond kan worden verhandeld en aan de hoogste bieder kan worden verkocht, wat natuurlijk overal kan zijn."
Bedreigingen op maat zoals Red October zijn het soort worst-case scenario's dat beveiligingsmensen de hele nacht wakker houdt. Gelukkig betekent de specificiteit die Red October succesvol maakte ook dat het onwaarschijnlijk is om reguliere consumenten zoals jij en ik te bedreigen.
Helaas verandert dat niets aan het feit dat een nieuwe en krachtige speler al jaren achter de schermen opereert.
Volg hem op Twitter @wmaxeddy voor meer informatie van Max.
