Kaspersky Labは、「Red October」に関する2部構成のレポートの最初のリリースを発表しました。これは、ヨーロッパ全体の高レベルの政府システムに侵入し、機密文書を標的とする可能性があると同社が考えているマルウェア攻撃です。 報告書によると、盗まれたデータは「数百テラバイト」のオーダーであり、約5年間ほとんど検出されませんでした。
赤い10月、または「ロクラ」は、それが最初に発見された月と作家のトム・クランシーによって想像された名声の静かなロシアの潜水艦からその名前を取ります。 あなたはPC MagでRed Octoberとその背景について知ることができます。
具体的に標的を絞った攻撃
レポートでは、レッドオクトーバーを「フレームワーク」として説明しています。このフレームワークは、被害者の弱点を利用するために迅速にアップグレードできます。 攻撃者は、標的にアピールするように仕立てられたスピアフィッシングメールまたは感染文書で攻撃を開始しました。 感染すると、侵入者は特定のモジュールをインストールして侵入を拡大する前にシステムに関する情報を収集します。 カスペルスキーは、約1, 000個のこのような一意のファイルを約30のモジュールカテゴリに分類しました。
これは、Flameや他の見出しをつかむマルウェアとは著しく異なるアプローチです。 レポートには、「攻撃者と被害者の間には高度な相互作用があります。被害者の設定の種類、使用するドキュメントの種類、インストールされているソフトウェア、母国語などによって操作が行われます。」
「高度に自動化されたサイバースパイキャンペーンであるFlameとGaussと比較して、Rocraはより多くの「個人」であり、犠牲者のために細かく調整されています」とKaspersky氏は述べています。
攻撃者は組織的であり、実際に盗まれた情報を使用するための戦術を変えているのと同じように不正でした。 「感染したネットワークから収集した情報は、後の攻撃で再利用されます」とカスペルスキーは書いています。 「たとえば、盗まれた資格情報はリストにまとめられ、攻撃者が他の場所でパスワードとネットワーク資格情報を推測する必要があるときに使用されました。」
レーダーから離れる
この種の標的型攻撃は、レッドオクトーバーの背後にいる人々が高レベルの標的を追跡できるようにするだけでなく、操作が何年も検出されないままにするのにも役立ちました。 「高度なスキルを持ち、資金も豊富な攻撃者と限られた配布の組み合わせは、一般にマルウェアがかなりの期間レーダーの下にとどまることができることを意味します」とカスペルスキーの主任研究者であるロエル・シュウェンバーグは SecurityWatchに 語りました。 「さらに、ゼロデイ脆弱性の使用は確認されていません。これは、パッチ適用の重要性を示しています。」
Schouwenbergはさらに、セキュリティの複数の層がこの種の攻撃に対するブロックに役立つと述べました。 彼は SecurityWatchに 、「これが多層防御が重要であり、デフォルトの拒否、ホワイトリスト、アプリケーション制御などのアプローチが作用する理由です。攻撃は正確に検出されなくても阻止できます。」
必ずしも国家の仕事ではない
高レベルの標的にもかかわらず、カスペルスキーは、州が支援する攻撃への決定的なリンクがないことを強調します。 報告書は、標的にされた情報は国家にとって価値があるかもしれないが、「そのような情報は地下で取引され、最高の入札者に、もちろんどこでも販売できる」と述べている。
Red Octoberのようなカスタマイズされた脅威は、ペンタゴンのセキュリティ関係者を一晩中眠らせる最悪のシナリオです。 幸いなことに、Red Octoberを成功に導いた特異性は、あなたや私のような通常の消費者を脅かす可能性が低いことも意味します。
残念ながら、それは新しい強力なプレイヤーが何年も舞台裏で活動しているという事実を変えません。
Maxの詳細については、Twitter @wmaxeddyで彼をフォローしてください。