Kaspersky: operazione Ottobre Rosso

Kaspersky, produttore dell'omonimo software anti-virus, ha annunciato la scoperta di una botnet mirata a rubare segreti informatici da governi, istituti di ricerca e anche dal settore privato. La botnet, chiamata Ottobre Rosso è attiva da oltre cinque anni, un'anzianità non comune in questo campo.

Ottobre Rosso usa una serie di vulnerabilità nei documenti Microsoft Excel, Word, PDF e Java per infettare PC, smartphone e dispositivi per il networking di computer. Non è chiaro chi sia dietro questi attacchi, ma Rocra (acronimo usato da Kaspersky per indicare Ottobre Rosso) usa almeno tre exploit originariamente creati da hacker cinesi. La programmazione sembra però appartenere a un gruppo separato la cui madrelingua è il russo.

PC infetti da Rocra sono stati scoperti in molti paesi, ma sembrano concentrarsi nelle nazioni dell'ex blocco sovietico.

Kaspersky ha dichiarato che il malware usato in Rocra può rubare dati da qualunque PC e smartphone collegato al PC, inclusi gli iPhone e i cellulari Nokia e Windows Mobile. Rocra può inoltre copiare informazioni da componenti Cisco e drive esterni, inclusi file cancellati.

Il malware può inoltre leggere email e allegati, registrare tutti i tasti premuti, fare screenshot leggere la history da Chrome, Firefox, Internet Explorer e Opera.

Anche se Rocra è dotato di capacità molto ampie, non tutti nell'ambito della sicurezza sono rimasti colpiti dalla tecnologia usata. "Sembra che gli exploit usati non siano per niente sofisticati," ha dichiarato F-Secure nel suo blog. "Gli attacchi sono exploit di Word, Excel e Java ben conosciuti. Fino ad ora non sono stati usati exploit zero-day." Un exploit zero-day è una vulnerabilità contro cui non esiste ancora una patch.

Nonostante ciò, Rocra è interessante per la sua longevità e per l'estensione del suo attacco. La complessità con cui è stato progettato Rocra è al pari di Flame. Rocra non sembra però essere collegato in alcun modo a Flame, Stuxnet, Gauss o Duqu.

Un computer viene infettato quando una vittima scarica e apre uno speciale file Word, Excel o PDF che poi viene usato per scaricare altro malware dai server command and control. È questo secondo round di malware che da a Rocra tutte le sue abilità permettendo l'invio dei dati agli hacker.

Rocra cerca file che usano estensioni Acid Criptofile, un software di criptografia usato da molti governi e organizzazioni come l'Unione Europea e la NATO. Non è però chiaro se le persone dietro a Rocra siano in grado di decifrare questi file.

Rocra è molto resistente alle interferenze della legge, secondo Kaspersky. Se i server command and control sono compromessi, gli hacker hanno pensato a un sistema per riprendersi il controllo del PC infetto inviando una semplice email alla vittima. Quando un utente riceve un'email (creata appositamente per passare tutti i controlli degli anti-virus) con dei tag particolari, Rocra si riattiva sui nuovi server.

Voi cosa ne pensate, si tratta di un altro virus sponsorizzato da qualche governo o la motivazione degli hacker sono solo i soldi? Fateci sapere cosa ne pensate nei commenti.