Artikel top billede

Sådan fungerede stort spionage-netværk i seks år

Det gigantiske spionage-netværk 'Red October' er modulopbygget. Se her, hvordan netværket har fungeret.

Computerworld News Service: Sikkerhedsfirmaet Kaspersky Lab har opdaget et hidtil ukendt og avanceret it-spionagenetværk, der har stjålet store mængder data fra blandt andet diplomattjenester og statslige myndigheder i hovedsageligt de tidligere sovjetrepublikker, Østeuropa og Centralasien siden 2007.

Efter en bemærkelsesværdig succes i løbet af de sidste to år med at afdække en række lyssky cybervåben er den nye opdagelse af it-spionagenetværket Red October (der forkortes Rocra) endnu et flot resultatet for russiske Kaspersky Lab.

Valget af navn efter Tom Clancys koldkrigsroman fra Reagan-æraen, Jagten på "Røde Oktober", (hvori Røde Oktober er navnet på en russisk atomubåd) er et dramatisk greb, der dog ser ud til at have sin berettigelse, når man gennemgår Kasperskys analyser af den nyopdagede trussel.

Red October er modulopbygget (30 moduler i alt), temmelig kompleks (1.000 filer med 115 oprettelsesdatoer fordelt på lige over to år), går efter flere forskellige miljøer (adskillige mobilplatforme udover pc'er) og havde indtil denne uge et kommando og kontrol-netværk med 60 domæner. Det er alt sammen noget, der kraftigt indikerer, at der er tale om et statssponsoreret cybervåben og ikke blot resultatet af organiseret kriminalitet.

Desuden har it-spionagenetværket undgået at blive opdaget i hvert fald siden 2007, hvilket betyder, at dets kode ikke har været relateret til kommerciel malware, for da ville antivirusprogrammerne have fundet det for længe siden.

En anden klar parallel til koldkrigsspændinger har at gøre med de data, spionagenetværket er gået efter. Det inkluderer en lang række forskellige typer af data heriblandt en type ved navn Acid Cryptofiler, hvilket er et krypteret format, som ifølge Kaspersky har været anvendt af EU og NATO siden blot 2011.

Målrettede phishing-angreb

Malwaren nåede frem til sine mål ved hjælp af målrettede phishing-angreb via e-mail og udnyttede kendte sårbarheder i Microsoft Office. Brugeroplysninger stjålet af netværket blev anvendt i efterfølgende angreb.

De cirka 300 opdagede ofre dækker en bred vifte af lande heriblandt i Nordamerika og Europa men hovedsageligt Østeuropa og de tidligere sovjetrepublikker - 35 inficeringer er fundet alene i Rusland.

Så vildt er netværket

Der er dog også fundet tegn på hastværk (eller tilpasningsevne afhængig af, hvordan man ser på det). Red Octobers operatører har for eksempel genbrugt kinesisk angrebskode.

Da denne angrebskode i forvejen var offentligt kendt, har dette involveret en vis risiko for opdagelse. Så det må antages, at bagmændene fra tid til anden har haft lidt for travlt.

Udover it-spionagenetværkets størrelse og mål er der også andet, der indikerer dets høje kompleksitet.

For eksempel dets bemærkelsesværdige evne til at genvinde kontrollen over inficerede maskiner ved hjælp af blandt andet skadeligt tilpassede Adobe Reader- eller Microsoft Office-dokumenter, i det tilfælde at den oprindelige infektion opdages og fjernes eller de oprindelige kommando og kontrol-servere uventet overtages eller lukkes ned.

Hvis det ligner et cybervåben, så er det som regel et cybervåben. Men hvem kan tænkes at stå bag Red October og hvad er det politiske motiv?

Kaspersky giver nogle få hentydninger såsom malwarens navn i firmaets antivirus-database, Backdoor.Win32.Sputnik, og selvfølgelig navnet på den overordnede it-spionagekampagne, Red October (det siger en hel del, at der som metafor bruges en russisk ubåd, der ikke parerer ordre).

Der er også noget, der peger på, at Red Octobers udviklere er russisksprogede.

Hvem end, der udviklede denne software, har et ønske om at holde sig ajourført på længere sigt med hensyn til militære og statslige efterretninger fra lande, der tidligere var allieret med Rusland, samt Ruslands nye allierede verden over.

"Igen rejser opdagelsen af denne spionagekampagne spørgsmålet om, hvad der ellers findes derude af trusler, som vi ikke kender til," kommenterer Jarno Limnell fra den finske sikkerhedsspecialist Stonesoft.

"Red October er også et godt eksempel på, hvad der sker af lyssky aktiviteter i den digitale verden. Det fører tankerne hen på, hvordan spioner arbejdede under den kolde krig. Der er her tale om avanceret spionage, der har infiltreret sikkerhedssystemer uden at blive opdaget og herefter i det skjulte indsamlet og sendt værdifulde efterretninger til sine operatører," bemærker han.

"Den digitale verden er blevet etableret som den nye slagmark og stater, ikke-statslige organisationer og kommercielle virksomheder er nødt til at erkende, at trusler som Red October er ved at være den nye norm. Med hensyn til it-spionage så er det noget, alle gør. Spørgsmålet er blot, hvem der er bedst til det," kommenterer Limnell.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
NNIT åbner igen kontorerne for sine medarbejdere - snart vil alle være tilbage: Her er hele genåbningsplanen
De tomme mødelokaler og stille kontorer er ved at blive udskiftet med en summen af stemmer hos NNIT. Konsulenthuset er i gang med at eksekvere på en genåbningsplan, der skal munde ud i en fuld genåbning af kontorerne.
Computerworld
Ransomware-hackere krævede 15 millioner kroner: Betal og kom videre, lød det fra politiet
En fagforening med 1,3 millioner medlemmer blev i 2019 ramt af et ransomware-angreb, hvor hackerne krævede en løsesum på 15 millioner kroner. Myndighederne opfordrede dem til at betale løsesummen, men de valgte en helt anden løsning, og i stedet fandt de fysiske kopier frem og forsøgte at gendanne data.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Er din forretning og jeres Dynamics 365 klar til løbende opdateringer?
Hyppige opdateringer af din Dynamics 365 sikrer hurtig adgang til nyeste funktioner og opdateringer. Men metoden rummer også risici. Læs her, hvordan du minimerer dem.