NATO: Ο κυβερνοπόλεμος είναι λόγος επίκλησης του Άρθρου 5

Μια μαζική καταστροφική κυβερνοεπίθεση κατά του ΝΑΤΟ θα ενεργοποιούσε τον μηχανισμό συλλογικής άμυνας της Συμμαχίας, προειδοποιεί ο Γενικός Γραμματέας του Οργανισμού, Γιένς Στόλτενμπεργκ. «Το ΝΑΤΟ λαμβάνει πολύ σοβαρά υπ’ όψιν του τις κυβερνοαπειλές επειδή βλέπουμε όλο και περισσότερες κυβερνοεπιθέσεις» δήλωσε κατά την διάρκεια πρόσφατης κοινής συνέντευξης Τύπου με τον Καναδό πρωθυπουργό Τζάστιν Τρυντώ στην Οτάβα.

Το χάος και οι ζημιές που μπορούν να προκαλέσουν επιθέσεις αυτού του είδους ώθησαν το 2014 την Συμμαχία να συμφωνήσει ότι μια κυβερνεπίθεση θα δύναται να ενεργοποιήσει το Άρθρο 5 περί συλλογικής ασφάλειας και ως εκ τούτου την αντίδραση ολόκληρου του ΝΑΤΟ. Το εν λόγω Άρθρο προβλέπει ότι σε περίπτωση που δεχθεί επίθεση μια χώρα-μέλος θεωρείται ότι δέχονται επίθεση όλα τα μέλη του στρατιωτικού συνασπισμού.

Υπενθυμίζεται ότι η πρώτη φορά που ενεργοποιήθηκε το Άρθρο 5 στα 69 χρόνια ύπαρξης του Βορειοατλαντικού Συμφώνου ήταν το 2001, μετά την επίθεση της 11ης Σεπτεμβρίου κατά των Ηνωμένων Πολιτειών. «Η αντίδρασή μας θα είναι πάντα μετρημένη, αμυντικού χαρακτήρα και ανάλογη, γι’ αυτό θα εκτιμήσουμε την επίθεση και μετά θα αποφασίσουμε πώς να απαντήσουμε» επεσήμανε ο Γ. Στόλτενμπεργκ.

Συλλογική κυβερνοάμυνα

Ιδιαίτερη εντύπωση όμως κάνει η διευκρίνιση του Γ.Γ του ΝΑΤΟ ότι δεν είναι δεδομένο πως η απάντηση της Συμμαχίας θα δοθεί στον κυβερνοχώρο. «Δεν είναι πάντα αυτονόητο ότι σε μια κυβερνοεπίθεση θα αντιδράσουμε στον κυβερνοχώρο, υπάρχουν και άλλοι τρόποι…» δήλωσε με νόημα.

Το τελευταίο διάστημα το ΝΑΤΟ εργάζεται εντατικά για την ενίσχυση της κυβερνοάμυνας, βοηθώντας τα κράτη-μέλη να προστατεύσουν το κυβερνοχώρο τους, υπογράμμισε. «Βοηθάμε με τεχνολογίες, ασκήσεις και μοιραζόμαστε τις βέλτιστες πρακτικές ενώ διαθέτουμε μια ομάδα 200 κυβερνοειδικών που είναι έτοιμοι να αναπτυχθούν σε διαφορετικές συμμαχικές χώρες εάν απαιτηθεί για να συμβάλλουν στην άμυνα των κυβερνοδικτύων τους».

Πολλά έχουν γραφτεί για το ενδιαφέρον που έχει δείξει τα τελευταία χρόνια η Ρωσία σε αυτό το είδος ασύμμετρου πολέμου, αν και δεν είναι η μόνη. Παρά την ένταση που χαρακτηρίζει προσφάτως τις σχέσεις με την Μόσχα, ο Γενικός Γραματέας του ΝΑΤΟ έσπευσε να τονίσει πως η Συμμαχία δεν επιθυμεί έναν νέο Ψυχρό Πόλεμο ή μια νέα κούρσα εξοπλισμών.

«Είμαστε προσηλωμένοι στο πώς μπορούμε να απαντήσουμε με σταθερό, ισχυρό, προβλέψιμο αλλά παράλληλα μετρημένο και αμυντικό τρόπο» σχολίασε αναφερόμενος στις σχέσεις της Δύσης με την Ρωσία. «Η Ρωσία είναι εδώ για να μείνει (…) είναι ο γείτονάς μας, έτσι θα συνεχίσουμε να αγωνιζόμαστε για μια πιο εποικοδομητική σχέση με την Ρωσία».

Πηγή

CYBER COALITION 14: Η κυβερνοάμυνα προτεραιότητα ΝΑΤΟ

Από την 18 έως την 20 Νοεμβρίου 2014 διεξήχθη η Άσκηση Κυβερνοάμυνας του ΝΑΤΟ, με την ονομασία «CYBER COALITION 14», η οποία διεξάγεται σε ετήσια βάση από το 2008.

Σκοπός της άσκησης ήταν η εξάσκηση στις διαδικασίες λήψης αποφάσεων, στις τεχνικές διαδικασίες σε όλα τα επίπεδα (στρατηγικό-επιχειρησιακό-τακτικό), η ανάπτυξη της συνεργασίας μεταξύ των Κρατών-Μελών του ΝΑΤΟ σε θέματα Κυβερνοάμυνας καθώς και η αντιμετώπιση νεοεμφανισθέντων (αναφορικά με την τελευταία λέξη της τεχνολογίας) απειλών.

Σε εθνικό επίπεδο, στην άσκηση συμμετείχε η Διεύθυνση Κυβερνοάμυνας (ΔΙΚΥΒ) του ΓΕΕΘΑ, επιτελείς των Διευθύνσεων Πληροφορικής των Γενικών Επιτελείων καθώς και λοιποί δημόσιοι (ΕΥΠ, Δίωξη Ηλεκτρονικού Εγκλήματος), ιδιωτικοί και ακαδημαϊκοί φορείς από τις έδρες τους, μέσω συστήματος μεταφοράς εικόνας σε πραγματικό χρόνο.

Πηγή

Συνέντευξη Jamie Shea

Αρκετά χρόνια έχουν περάσει από τότε που μια τεραστίων διαστάσεων επίθεση στο κυβερνοχώρο παρέλυσε της υποδομές της Εσθονίας. Από εκείνη τη στιγμή έγινε σαφές ότι η άμυνα στον κυβερνοχώρο ήταν ζωτικής σημασίας για τα έθνη.
Η Ελένη Παναγιώτου μιλά με τον Τζέιμι Σέι (Jamie Shea), Αναπληρωτή Βοηθό του Γενικού Γραμματέα για την Ασφάλεια στο ΝΑΤΟ, ο οποίος διευκρινίζει αποκλειστικά στο Onalert την θέση του ΝΑΤΟ σχετικά με τον τομέα της Κυβερνοάμυνας και τον ρόλο του ΝΑΤΟ σε αυτόν.

Ο κ. Σέι δήλωσε οτι το ΝΑΤΟ εξετάζει πώς μπορεί να βοηθήσει χώρες όπως την Ελλάδα έναντι επιθέσεων στον κυβερνοχώρο, για να ειναι σε μια καλύτερη θέση να διαχειριστούν επιθέσεις και να βελτιώσουν τα συστήματά τους. Προφανώς κάποιες χώρες εχουν περισσότεροι τεχνογνωσία σε αυτο τον τομέα και σύμφωνα με τον Σέι αυτο ειναι κατανοητο και γι’αυτο όπως δήλωσε «θέλουμε να δώσουμε, όλο και περισσότερο, την εμπειρία και την τεχνογνωσία των πιο ικανών προς όφελος εκείνων που ίσως μπήκαν στο παιχνίδι λίγο αργότερα».
Ο Σέι τόνισε οτι δεν πιστεύει οτι «σύμμαχοι του ΝΑΤΟ εξαπολύουν επιθέσεις ο ένας στον άλλο, στον κυβερνοχώρο», και οτι «οι επιθέσεις που βλέπουμε, προέρχονται από χώρες εκτός της συμμαχίας».

Αυτο που γίνεται αντιληπτό απο την συνέντευξη ειναι οτι οι επιθέσεις στον κυβερνοχώρο –περίπου το 90% – ειναι συγκριτικά χαμηλού επιπεδου. Δηλαδή σύμφωνα με τον Σέι οι περισσότερες επιθέσεις δεν μας δίνουν κάποιο λόγο ανησυχίας αλλα αποτελούνται συνήθως απο οργανωμένες εγκληματικές ομάδες που δραστηριοποιούνται κυρίως στον εμπορικό τομέα.

Αναφέρει βέβαια οτι οι κυβερνοεπιθέσεις μπορούν να έχουν πιο δραματικές συνέπειες, όπως ηταν η επίθεση στην Εσθονία και όπως τόνισε ηταν η επίθεση Shamoon στην Σαουδική Αραβία. Γι’ αυτον ακριβώς τον λόγο – εξηγεί στην συνέντευξη στο Onalert o Σέι – το ΝΑΤΟ προετοιμάζει τους συμμάχους του. Γίνεται σαφής οταν δηλώνει οτι το ΝΑΤΟ δεν ειναι στον επιθετικό τομέα και οτι ασκεί καθαρά αμυντική πρστασία στις χώρες μέλη τονίζοντας οτι στον τομέα του κυβερνοχώρου δεν υπάρχουν νέοι κανόνες , «το έγκλημα στον κυβερνοχώρο δεν είναι λιγότερο ποινικό επειδή δεν προκαλεί βία».

Ο κ. Σέι μίλησε και σχετικα με το θέμα αντιπυραυλικής άμυνας της Τουρκίας. Για το θέμα αυτο δήλωσε οτι «συχνά οι αποφάσεις αυτές υπαγορεύονται καθαρά από το κόστος, απο εμπορικά ζητήματα, απο την τεχνολογία, και επίσης θέματα sharing.»
Η στάση του ΝΑΤΟ τόνισε δεν εχει να κάνει τόσο με την προέλευση του αμυντικού συστήματος οσο με το αν το λογισμικό ειναι συμβατό με τα διάφορα νατοικά συστήματα.

Στην συνένντευξη ο Σέι αγγίζει επίσης και το θέμα του ιδιωτικού τομέα, που όπως δήλώνει ειναι εξαιρετικά σημαντικός στην ασφάλεια του κυβερνοχώρου, καθώς ειναι ένας τομέας όπου πολλοί θέλουν να παράγουν νέες εφαρμογές αλλα κανείς δεν σκέφτεται την ασφάλεια.

Ενδιαφέρον αποτελούν πάντα οι ασκήσεις του ΝΑΤΟ στον τομέα της κυβερνοάμυνας, όπως ηταν η πρόσφατη Steadfast Jazz, (Διαβάστε εδώ το σχετικό άρθρο «Steadfast Jazz»: 6000 Νατοϊκά στρατεύματα «απέναντι» στη Ρωσία) όπου για πρώτη φορά δύναμη αντίδρασης του ΝΑΤΟ σε άσκηση είχε ενα σημαντικό σενάριο για τον κυβερνοχώρο που ηταν ενσωματωμένο στην άσκηση.

Έκπληξη προκαλεί η αποκάλυψη του Σέι για την πραγματική επίθεση που δέχτηκαν οι συμμαχικές δυνάμεις κατά την διάρκεια της άσκησης Steadfast Jazz! Ωστόσο για όλες τις λεπτομέρειες θα πρέπει να παρακολουθήσετε την συνέντευξη!

https://www.youtube.com/watch?v=UnfgdmhkMNM

Πηγή

Άσκηση Cyber Coalition 13

Από 26 έως 28 Νοεμβρίου 2013 διεξάγεται η άσκηση Κυβερνοάμυνας του ΝΑΤΟ με την ονομασία “Cyber Coalition 13”.

Σκοπός της άσκησης είναι η εξάσκηση των κρατών μελών της συμμαχίας στις διαδικασίες εντοπισμού, αναφοράς και αντιμετώπισης κυβερνοεπιθέσεων σε όλα τα επίπεδα (στρατηγικό-επιχειρησιακό-τακτικό), καθώς και στις διαδικασίες λήψης αποφάσεων τόσο σε θέματα συνεργασίας μεταξύ Εθνικών φορέων αλλά και μεταξύ των Κρατών-Μελών.

Σε εθνικό επίπεδο στην άσκηση , η οποία διεξάγεται σε ετήσια βάση από το 2008,συμμετέχουν η Διεύθυνση Κυβερνοάμυνας (ΔΙΚΥΒ) του ΓΕΕΘΑ, επιτελείς των Διευθύνσεων Πληροφορικής των Γενικών Επιτελείων, καθώς και λοιποί δημόσιοι φορείς κυβερνοάμυνας και εθνικοί πάροχοι διαδικτύου.

Πηγή

NATO: Προσλαμβάνονται Hackers!

Το ΝΑΤΟ έχει κυκλοφορήσει ένα σύντομο βίντεο, που περιγράφει το φαινόμενο “hacker”.

Με τον όρο hackers δεν αναφέρονται μόνο στους κακόβουλους χάκερ, σκυφτοί σ ‘ένα πληκτρολόγιο και σε ένα σκοτεινό δωμάτιο (αν και ένας από αυτούς εμφανίζεται έτσι στο βίντεο), αλλά αναφέρονται επίσης και σε ερευνητές ευπαθειών που εντοπίζουν σφάλματα ασφαλείας σε συστήματα.

Το βίντεο καθιστά σαφές, ότι υπάρχει μια αυξανόμενη αγορά για ευπαθή σημεία. Εκείνοι που βρίσκουν κενά ασφαλείας δεν μπορούν να αποκομίσουν κέρδος μόνο από τις πληρωμές των προγραμμάτων bug bounties, που καταβάλλεται από την εταιρεία που διαθέτει το ευπαθές λογισμικό, αλλά μπορούν εναλλακτικά (και αμφιλεγόμενα) να επιλέγουν να πουλήσουν τις λεπτομέρειες ενός exploit σε άλλους, που μπορεί να έχουν πιο σκοτεινές προθέσεις ή κανέναν ενδοιασμό να τα πουλήσουν οπουδήποτε.

Δείτε το βίντεο:

Πηγή

Το ΝΑΤΟ δέχεται καθημερινά 147 εκατομμύρια διαδικτυακές εισβολές

Ο Ian West, υψηλόβαθμο στέλεχος του ΝΑΤΟ, αποκάλυψε ότι τα συστήματα ανίχνευσης διαδικτυακών εισβολών του οργανισμού χειρίζονται περίπου 147 εκατομμύρια ύποπτα συμβάντα ασφαλείας σε καθημερινή βάση. Ο West ανέφερε σε μια συνέντευξη που έδωσε στο Reuters ότι έχουν γίνει 2.500 περίπου σοβαρές επιθέσεις εναντίον των συστημάτων του ΝΑΤΟ. Επιβεβαίωσε μάλιστα ότι ορισμένες από τις επιθέσεις ήταν επιτυχείς. Ωστόσο, αρνήθηκε να πει αν κάποιες από αυτές είχε σαν αποτέλεσμα την κλοπή διαβαθμισμένων πληροφοριών. Σύμφωνα με τον West, το χειρότερο σενάριο που μπορεί να συμβεί σε μια κυβερνοεπίθεση είναι εκείνο κατά το οποίο α βοηθησει να χαθούν ανθρώπινες ζωές.

“Εάν οι πληροφορίες δεν περάσουν από μια ενέδρα, ή οι ειδοποιήσεις δεν παραδοθούν με ασφάλεια, τότε τη ζωή των στρατευμάτων μας βρίσκεται σε κίνδυνο.” Τον περασμένο μήνα, χώρες μέλη του ΝΑΤΟ συμφώνησαν να ενισχύσουν τις άμυνες του οργανισμού στον κυβερνοχώρο μέχρι τον Οκτώβριο.

Ο Επικεφαλής του ΝΑΤΟ Anders Fogh Rasmussen τόνισε το γεγονός ότι όλες οι χώρες Σύμμαχοι (πλούσιες και φτωχές) θα πρέπει να προστατεύονται, αλλά μερικές από τις “μεγάλες” χώρες δεν είναι τόσο πρόθυμες να χρησιμοποιήσουν τους πόρους τους για να βοηθήσουν τις μικρότερες.

Πηγή

ΝΑΤΟ: Οι χακτιβιστές, εν καιρώ πολέμου, αποτελούν στρατιωτικούς στόχους

Όλοι πίστευαν ότι το Ίντερνετ είναι κάτι σαν την Άγρια Δύση. Αυτό που φρόντιζαν να ξεχάσουν είναι ότι η διεθνής νομοθεσία, εφαρμόζεται στα όπλα κυβερνοπολέμου, με τον ίδιο τρόπο που εφαρμόζεται για τα όπλα συμβατικού πολέμου.

Αυτά δήλωσε ο Καθηγητής της Αμερικανικής Σχολής Πολέμου, Michael Schmitt, ένας εκ των συγγραφέων του νέου εγχειριδίου του NATO με τίτλο Tallinn Manual on the International Law Applicable to Cyber Warfare

Πρόκειται ουσιαστικά για ένα σύστημα κανόνων που θέτει το NATO  (ή αλλιώς, η Βορειοατλαντική Συμμαχία) για τους κανόνες αντιμετώπισης της «τρομοκρατίας» στον κυβερνοχώρο, προσπαθώντας να εφαρμόσει τους διεθνείς κανόνες πολέμου και στο διαδίκτυο. Σύμφωνα με αυτό, αλλά και με τα «χρηστά ήθη» του συμβατικού πολέμου, οι επιθέσεις δεν πρέπει να πραγματοποιούνται σε νοσοκομεία, πυρηνικούς σταθμούς και φράγματα ώστε να μην υπάρχουν παράπλευρες απώλειες. Κι αυτό το επισημαίνει για τις «κρατικές» κυβερνοεπιθέσεις, των ενεργειών δηλαδή στον κυβερνοχώρο που οργανώνουν τα ίδια τα κράτη και όχι μεμονωμένοι χάκερς.

Τι; Σας φαίνεται παράξενο που ακούτε ότι υπάρχουν «κρατικές» κυβερνοεπιθέσεις; Μα φυσικά και υπάρχουν, απλά μέχρι πρόσφατα τις ονομάζαμε «ιούς», όπως το Stuxnet, τον Κόκκινο Οκτώβρη ή το Flame.

Στο ίδιο εγχειρίδιο που συντάχτηκε από το Κέντρο ΚυβερνοΆμυνας του ΝΑΤΟ και εδρεύει στο Ταλίν της Εσθονίας, δικαιολογείται και η χρήση συμβατικών όπλων εναντίων κυβερνοτρομοκρατών ενώ οι χακτιβιστές που συμμετέχουν σε κυβερνοεπιθέσεις κατά την διάρκεια πολέμου, μπορούν να θεωρηθούν στόχοι, ακόμα κι αν πρόκειται για πολίτες.

Σχεδόν όλες οι χώρες που συμμετέχουν στο ΝΑΤΟ συμμετέχουν στην κίνηση αυτή και αν ασχολείστε με τον χακτιβισμό, θα σας συμβουλεύαμε να διαβάσετε αναλυτικά το εγχειρίδιο του Ταλίν, που προς το παρόν είναι διαθέσιμο online εδώ.

Πηγή

Ευρωπαϊκές κρατικές υπηρεσίες στο στόχαστρο του ιού «Miniduke»

Του Κώστα Δεληγιάννη

Το malware εκμεταλλεύεται μία ευπάθεια στο πρόγραμμα Acrobat Reader.

Ένα νέο ιό ανακοίνωσε χθες ότι ανακάλυψε η εταιρεία κατασκευής antivirus Kaspersky Lab, σε συνεργασία με το εργαστήριο CrySys Lab του πανεπιστημίου της Βουδαπέστης. Ο ιός, που ονομάζεται «Miniduke», φαίνεται πως αναπτύχθηκε για να πλήξει κρατικές υπηρεσίες και ινστιτούτα κυρίως από την Ευρώπη. Έτσι, μεταξύ άλλων, κατάφερε να μολύνει υπολογιστές σε δημόσιους φορείς στην Πορτογαλία, την Ουκρανία και τη Ρουμανία.

Ο «Miniduke» αξιοποιεί ένα κενό ασφαλείας στο Acrobat Reader, ένα από τα πιο γνωστά προγράμματα για το «άνοιγμα» αρχείων PDF. Ο ιός ενσωματώνεται σε PDF τα οποία μοιάζουν εντελώς αθώα – για παράδειγμα, σε έγγραφα τα οποία φαίνεται να προέρχονται από το ΝΑΤΟ. Μόλις ο χρήστης «κατεβάσει» ένα τέτοιο έγγραφο στον υπολογιστή του, τότε το malware αξιοποιεί την ευπάθεια του Reader, για να εγκατασταθεί στο μηχάνημα.

Τότε, δημιουργεί ένα μοναδικό σειριακό αριθμό, ο οποίος επιτρέπει στους χάκερ να ταυτοποιήσουν το PC και ξεκινά να επικοινωνεί κρυπτογραφημένα με τους δημιουργούς του. Παράλληλα, αναπτύσσει έναν μηχανισμό ασφαλείας που του επιτρέπει να παραμένει «αόρατος» στα antivirus, αφού μπορεί να αδρανοποιείται κάθε φορά που ένα τέτοιο λογισμικό σαρώνει τον υπολογιστή.

Όταν έχει ολοκληρώσει την ανάπτυξη αυτού του μηχανισμού, ο «Miniduke» επικοινωνεί με υπάρχοντες λογαριασμούς στο Twitter, που περιέχουν κωδικοποιημένες ηλεκτρονικές διευθύνσεις από τις οποίες το malware μπορεί να λάβει εντολές από τους δημιουργούς του. Σύμφωνα με την Kaspersky Lab, οι εντολές αυτές δίνουν τη δυνατότητα στους χάκερ να αποκτήσουν πρόσβαση ή να διαγράψουν αρχεία που βρίσκονται αποθηκευμένα στο μηχάνημα.

Η Adobe κυκλοφόρησε την περασμένη εβδομάδα μία αναβάθμιση για το Acrobat Reader που αντιμετωπίζει τη συγκεκριμένη ευπάθεια. Η Kaspersky Lab υποστηρίζει, ωστόσο, πως στις 20 Φεβρουαρίου οι χάκερ προχώρησαν σε διορθώσεις στον «Miniduke», κάτι που την κάνει να υποψιάζεται πως ενδεχομένως βρήκαν ήδη μία νέα «κερκόπορτα» στο πρόγραμμα.

Για την Kaspersky Lab, αξιοσημείωτο είναι επίσης το γεγονός ότι οι κυβερνοεγκληματίες χρησιμοποίησαν «παγιδευμένα» αρχεία PDF για να εξαπατήσουν τους χρήστες – μία πρακτική που, αν και χρησιμοποιούνταν κατά κόρον τη δεκαετία του ’80 και του ’90, θεωρείται μάλλον απαρχαιωμένη για τα σημερινά δεδομένα. Αυτό το γεγονός την κάνει να πιθανολογεί ότι πίσω από την επίθεση βρίσκονται χάκερ που είχαν αποσυρθεί τις τελευταίες δεκαετίες και μόλις πρόσφατα αποφάσισαν να επιστρέψουν στην ενεργό δράση.

Πηγή

Malware παρακολουθούσε κυβερνήσεις για 5 χρόνια και ανακαλύφθηκε από την Kaspersky

Η Kaspersky δημοσίευσε σήμερα εκτενή έκθεση στην οποία καταγράφει λεπτομερώς για μια εξελιγμένη εκστρατεία κατασκοπείας από ένα κακόβουλο λογισμικό που τρέχει από τον Μάιο του 2007. Η κατασκοπευτική επιχείρηση στοχοποιεί “αρκετές εκατοντάδες” κυβερνήσεις και των διπλωματικούς οργανισμούς, κυρίως στην Ανατολική Ευρώπη (κυρίως τις πρώην Δημοκρατίες της ΕΣΣΔ) και την Κεντρική Ασία, αλλά και στη Δυτική Ευρώπη και τη Βόρεια Αμερική. Μεταξύ των θυμάτων ήταν πρεσβείες, προξενεία, εμπορικά κέντρα, κέντρα πυρηνικών ερευνών, καθώς και οργανισμοί πετρελαίου και το φυσικού αερίου. Η συντριπτική πλειονότητα των μολυσμένων υπολογιστών θυμάτων του κακόβουλου λογισμικού βρέθηκαν στη Ρωσία (η Kaspersky εντόπισε 35), με 21 περιπτώσεις ακολουθεί το Καζακστάν, με 15 το Αζερμπαϊτζάν, με 15 το Βέλγιο και 14 στην Ινδία. Έξι μολυσμένα μηχανήματα βρέθηκαν στις ΗΠΑ. “Κατά τη διάρκεια της έρευνάς μας έχουμε ανακαλύψει πάνω από 1000 μοναδικά αρχεία, που ανήκουν σε περίπου 30 διαφορετικές κατηγορίες modules,” αναφέρει η έκθεση της Kaspersky. “Οι επιτιθέμενοι κατάφεραν να μείνουν στο παιχνίδι για πάνω από πέντε χρόνια χωρίς να τους καταλάβει κανείς αφού κατάφερναν να αποφύγουν την ανίχνευση των περισσότερων προϊόντων antivirus, ενώ τα αρχεία που έχουν πάρει θα πρέπει να είναι εκατοντάδες terabytes μέχρι τώρα.”
https://i1.wp.com/cdn.iguru.gr/wp-content/uploads/2013/01/Kaspersky-Red-October.jpg
Το κακόβουλο λογισμικό που χρησιμοποιούσαν οι επιτιθέμενοι είναι εξαιρετικά ευέλικτο και προσαρμοσμένο για κάθε θύμα. Το θύμα είχε έναν μοναδικό αναγνωριστικό,ούτως ώστε να λαμβάνει ένα διαφορετικό module προσαρμοσμένο μόνο σε αυτόν. Το κάθε module έχει σχεδιαστεί για να εκτελεί διάφορες εργασίες, αλλά ο τελικός στόχος του ήταν να κλέψει μια ποικιλία αρχείων, συμπεριλαμβανομένων των αρχείων PDF, υπολογιστικά φύλλα του Excel, αρχεία CSV, καθώς και ACID files. Τα τελευταία αρχεία φαίνεται να είναι το κλειδί: οι επιτιθέμενοι με το κακόβουλο λογισμικό προσπαθούσαν να κλέψουν αρχεία κρυπτογραφημένα με Acid Cryptofiler, ένα πρόγραμμα κρυπτογράφησης που αναπτύχθηκε από το γαλλικό στρατό και τώρα χρησιμοποιείται από πολλές χώρες της Ευρωπαϊκής Ένωσης και του ΝΑΤΟ για την κρυπτογράφηση των διαβαθμισμένων πληροφοριών.
Το κακόβουλο λογισμικό δεν κλέβει μόνο αρχεία (συμπεριλαμβανομένων και εκείνων που έχουν ήδη διαγραφεί), αλλά και αρπάζει emails, αρχεία κωδικών πρόσβασης αντογράφει κάθε τι που πληκτρολογεί το θύμα, παίρνει screenshots, και κλέβει το ιστορικό περιήγησης από το Chrome, το Firefox, τον Internet Explorer, τον Opera κλπ. Ο κύριος στόχος είναι να συγκεντρώσει όσα ευαίσθητα έγγραφα, όπως είναι δυνατόν, και κάνει τα πάντα για να το καταφέρει. Στην πραγματικότητα, τα κακόβουλα modules μεταμφιέζονται σαν plugins του Microsoft Office και του Adobe Reader και βοηθούν τους επιτιθέμενους να ξαναμολύνουν εκ νέου έναν υπολογιστή όταν η πρώτη απειλή ανιχνευτεί και απομακρυνθεί από κάποιο antivirus scanner.
https://i0.wp.com/cdn.iguru.gr/wp-content/uploads/2013/01/Kaspersky-Red-October1.jpg
Η απειλή αρπάζει επίσης επαφές, ιστορικό κλήσεων, ημερολόγια, μηνύματα κειμένου και το ιστορικό περιήγησης από smartphones, όπως το iPhone, Android mobiles καθώς και από Windows Mobile συσκευές (ειδικά των κατασκευαστών Nokia, Sony Ericsson, και HTC). Η Kaspersky δήλωσε, όπως αναφέρει το TNW, ότι οι επιτιθέμενοι χρησιμοποιούν πάνω από 60 domains και αρκετούς servers (κυρίως από τη Γερμανία, τη Ρωσία και την Αυστρία) για τη διαχείριση του δικτύου των μολυσμένων υπολογιστών. Ωστόσο, οι servers κέντρο εντολών και ελέγχου (C & C) βρίσκονται πίσω από μια αλυσίδα με τρία επίπεδα proxy για να κρύψουν τη θέση του “μητρικού” κακόβουλου υπολογιστή και να αποτρέψουν στους ερευνητές την ανεύρεση του τελικού σημείου συλλογής, όπου βρίσκονται όλα τα κλεμμένα έγγραφα, πληκτρολογήσεις , screenshots και υποβάλλονται σε επεξεργασία: Η εταιρεία ασφαλείας ανέφερε ότι πιστεύει ότι οι δράστες είναι Ρώσοι αλλά ότι υπάρχει και πιθανότητα η όλη επιχείρηση να υποστηρίζεται από ένα κράτος. Οι ερευνητές ανακάλυψαν αρκετές ρωσικές λέξεις ενσωματωμένες στον κώδικα του κακόβουλου λογισμικού. Για παράδειγμα, η λέξη “zakladka”, η οποία μπορεί να σημαίνει «σελιδοδείκτης» στα ρωσικά (και στα πολωνικά), αλλά μπορεί επίσης να είναι ένας ρώσικος όρος που σημαίνει στην αργκό “αδήλωτη λειτουργικότητα” ή ένα “μικρόφωνο που είναι ενσωματωμένο σε ένα τούβλο του κτιρίου της πρεσβείας,” εμφανίζεται πολλές φορές. Η λέξη “proga,” ένας άλλος όρος κοινή Ρώσικη λέξη που σημαίνει ότι το πρόγραμμα ή εφαρμογή χρησιμοποιήθηκε συχνά. Η εταιρεία ονόμασε τη νέα κακόβουλη εκστρατεία “Operation Red October” από το ρωσικό υποβρύχιο που εμφανίζεται στο μυθιστόρημα του Tom Clancy.
Πηγή