แคมเปญการโจมตีทางไซเบอร์ 'แดงตุลาคม' ประสบความสำเร็จใต้เรดาร์ได้อย่างไร

Kaspersky Lab เปิดตัวรายงานสองส่วนแรกในหัวข้อ "Red October" การโจมตีมัลแวร์ที่ บริษัท เชื่อว่าเป็นการรบกวนระบบของรัฐบาลระดับสูงทั่วทั้งยุโรปและอาจเป็นเป้าหมายเฉพาะของเอกสารลับ ตามรายงานรายงานว่าข้อมูลที่ถูกขโมยนั้นอยู่ในคำสั่งของ "เทราไบต์หลายร้อยตัว" และถูกตรวจจับโดยส่วนใหญ่เป็นเวลาประมาณห้าปี

Red October หรือ "Rocra" ใช้ชื่อจากเดือนที่มันถูกค้นพบครั้งแรกและเรือดำน้ำรัสเซียอันเงียบสงบที่จินตนาการโดย Tom Clancy ผู้เขียน คุณสามารถเกี่ยวกับ Red October และภูมิหลังของมันได้ที่ PC Mag

โจมตีเป้าหมายที่เฉพาะเจาะจง

รายงานอธิบายถึง Red October ในฐานะ "กรอบงาน" ซึ่งสามารถอัพเกรดได้อย่างรวดเร็วเพื่อใช้ประโยชน์จากจุดอ่อนของเหยื่อ ผู้โจมตีเริ่มโจมตีอีเมล spearphising หรือเอกสารที่ติดเชื้อที่ปรับให้เหมาะกับเป้าหมายของพวกเขา เมื่อติดเชื้อแล้วผู้บุกรุกจะรวบรวมข้อมูลเกี่ยวกับระบบก่อนการติดตั้งโมดูลเฉพาะเพื่อขยายการบุกรุก Kaspersky นับ 1, 000 ไฟล์ที่ไม่เหมือนใครซึ่งตกอยู่ในหมวดหมู่ของโมดูลประมาณ 30 หมวด

นี่เป็นวิธีการที่แตกต่างอย่างชัดเจนกว่า Flame หรือมัลแวร์อื่น ๆ ที่พาดหัวโลภ รายงานกล่าวว่า "มีการปฏิสัมพันธ์ระดับสูงระหว่างผู้โจมตีและผู้ตกเป็นเหยื่อ - การดำเนินการนั้นขับเคลื่อนด้วยประเภทของการกำหนดค่าที่เหยื่อมีอยู่ซึ่งประเภทของเอกสารที่ใช้งานซอฟต์แวร์ที่ติดตั้งภาษาพื้นเมืองและอื่น ๆ "

“ เมื่อเปรียบเทียบกับ Flame and Gauss ซึ่งเป็นแคมเปญการโจมตีทางไซเบอร์แบบอัตโนมัติสูง Rocra เป็น 'ส่วนบุคคล' มากขึ้นและได้รับการปรับแต่งอย่างละเอียดเพื่อผู้ประสบภัย "Kaspersky เขียน

ผู้จู่โจมเป็นคนคดเคี้ยวเหมือนพวกเขามีระเบียบวิธีการเปลี่ยนยุทธวิธีเพื่อใช้ข้อมูลที่ถูกขโมยไป "ข้อมูลที่เก็บเกี่ยวจากเครือข่ายที่ติดไวรัสนั้นจะถูกนำกลับมาใช้ในการโจมตีในภายหลัง" Kaspersky เขียน "ตัวอย่างเช่นข้อมูลประจำตัวที่ถูกขโมยถูกรวบรวมในรายการและใช้เมื่อผู้โจมตีจำเป็นต้องเดารหัสผ่านและข้อมูลรับรองเครือข่ายในที่อื่น ๆ "

อยู่นอกเรดาร์

การโจมตีเป้าหมายแบบนี้ไม่เพียง แต่อนุญาตให้ผู้ที่อยู่เบื้องหลัง Red ตุลาคมไปตามเป้าหมายระดับสูง แต่ยังช่วยให้การดำเนินการไม่ถูกตรวจสอบเป็นเวลาหลายปี “ การรวมกันของผู้โจมตีที่มีทักษะสูงและได้รับการสนับสนุนอย่างดีและการกระจายที่ จำกัด นั้นหมายความว่ามัลแวร์ยังคงอยู่ภายใต้เรดาร์ได้เป็นระยะเวลานาน” Roel Schouwenberg Kaspersky นักวิจัยอาวุโสของ Kaspersky กล่าวกับ SecurityWatch "นอกจากนี้เรายังไม่เห็นการใช้ช่องโหว่ใด ๆ ใน zero-day ซึ่งอีกครั้งจะแสดงให้เห็นว่าการแก้ไขที่สำคัญคืออะไร"

Schouwenberg กล่าวต่อไปว่าการรักษาความปลอดภัยหลายชั้นสามารถช่วยป้องกันการโจมตีประเภทนี้ เขาบอกกับ SecurityWatch ว่า“ นี่คือเหตุผลว่าทำไมการป้องกันในเชิงลึกจึงมีความสำคัญและวิธีการต่าง ๆ เช่นการปฏิเสธค่าเริ่มต้นรายการที่อนุญาตและการควบคุมแอปพลิเคชันเริ่มต้นขึ้นการโจมตีสามารถหยุดได้

ไม่จำเป็นต้องทำงานของสหประชาชาติ

แม้จะมีเป้าหมายระดับสูง Kaspersky เน้นว่าไม่มีการเชื่อมโยงที่ชัดเจนถึงการโจมตีที่ได้รับการสนับสนุนจากรัฐ รายงานระบุว่าในขณะที่ข้อมูลที่กำหนดเป้าหมายอาจมีค่าสำหรับประเทศต่างๆ "ข้อมูลดังกล่าวสามารถทำการซื้อขายในชั้นใต้ดินและขายให้กับผู้เสนอราคาสูงสุดซึ่งแน่นอนได้ทุกที่"

ภัยคุกคามที่สร้างขึ้นเองเช่น Red October เป็นสถานการณ์ที่เลวร้ายที่สุดที่ทำให้คนด้านความปลอดภัยในเพนตากอนทั้งคืน โชคดีความจำเพาะที่ทำให้เรดตุลาคมประสบความสำเร็จก็หมายความว่ามันไม่น่าจะคุกคามผู้บริโภคทั่วไปเช่นคุณและฉัน

น่าเสียดายที่นั่นไม่ได้เปลี่ยนความจริงที่ว่าผู้เล่นใหม่และมีประสิทธิภาพได้ทำงานอยู่เบื้องหลังมาหลายปีแล้ว

สำหรับข้อมูลเพิ่มเติมจาก Max ติดตามเขาบน Twitter @wmaxeddy