„Octombrie Roşu“, ameninţarea din adâncul Internetului este în hibernare, iar un român studiază fenomenul

„Octombrie Roşu“ este o campanie de spionaj cibernetic care a debutat în 2007 şi a vizat, în special, state est-europene. Laboratoarele Kaspersky, companie recunoscută pe plan internaţional în ceea ce priveşte securitatea informatică, studiază comportamentul „Octombrie Roşu“ şi a explicat de ce nu a fost detectată ameninţarea în aceşti 5 ani.

„Octombrie Roşu“ este parte a unor programe noi de spyware, expansive şi complexe, dar care nu urmăresc beneficiile financiare, ci informaţiile de natură politică, notează „Kaspersky, fondată de Eugene Kaspersky, urmăreşte să-şi mărească aria de expertiză în ceea ce priveşte această generaţie nouă viruşi guvernamentali.

Din ceea ce a identificat compania până acum, se pare că virusul îşi are rădăcinile în Rusia, în codul său fiind descoperite mai multe cuvinte din jargonul rusesc, cum ar fi „zakladka“ (în engleză: bug) şi „proga“ (program). Sergei Nikitin, de la compania Group-IB din Moscova, este de părere că mai mulţi oameni au lucrat la acest program, iar aceştia nu au fost în contact unii cu alţii. Concluzia lui se bazează pe faptul că stilul de programare a modulelor individuale este inconsistent. El a mai spus că, cel mai probabil, oamenii au fost abordaţi de către o agenţie de inteligenţă pe forumurile dedicate hackerilor din Rusia.

Frumuseţea unui virus

„«Octombrie Roşu» este fantastic“, consideră Costin Raiu, membru al echipei de cercetare Kaspersky. „Atacatorii au scris aproximativ 1.000 de module diferite pentru a fura datele.“ El, împreună cu alţi peste 30 de angajaţi distribuiţi în întreaga lume, se ocupă de testarea noilor ameninţări. Raiu a avut primul contact cu „Octombrie Roşu“ în octombrie 2012, când l-a primit de la un informator. 

După ce a primit pachetul, l-a instalat pe calculatoarele din laboratorul special de teste. Programul s-a activat singur, a cartografiat din interior toată reţeaua, a identificat toate dispozitivele conectate şi, în final, a stocat şi criptat informaţia. Virusul a alocat şi un număr fiecărui calculator-victimă. „Octombrie Roşu“ a ajuns pe atât de multe computere printr-un procedeu denumit spear-phishing. Virusul a ajuns la câteva unităţi selectate dinainte, pentru a nu atrage atenţia şi s-a extins pe parcurs. Spre exemplu, un destinatar a primit un email cu textul „maşină diplomatică de vânzare“ drept subiect.

După investigaţia preliminară desfăşurată de virus, urmează contactarea altor computere prin intermediul Internetului. În funcţie de echipamentul descoperit, îşi descarcă uneltele necesare pentru a accesa baza de date cu contacte, calendar, texte, etc. Există un modul destinat citirii informaţiilor de pe iPhone, în timp ce un altul citeşte conţinutul stick-urilor USB, chiar după ce utilizatorii cred că au şters datele - la o curăţare clasică, din sistemul de operare, datele rămân pe dispozitiv şi urmează să dispară pe măsură ce este rescris.

Ceapa cu foiţe digitale

„Totul este structurat ca o ceapă“, a mai spus Raiu. Virusul caută documente clasificate care sunt criptate cu un software denumit „Acid Cryptofiler“, folosit atât de UE, cât şi de NATO. Pentru a le accesa, înregistrează, printr-un keylogger, ceea ce utilizatorul tastează. Apoi, împachetează toate datele şi le transmite la aproximativ 60 de servere de comandă, unele amplasate şi în Germania. Serverele comunică, la rândul lor, cu „navele mamă“ de unde informaţia ajunge la cei care o doresc.

Românul a stabilit un sistem prin care să cerceteze unde ajung toate aceste pachete şi a descoperit aproximativ 55.000 de computere infectate şi a obţinut acces la doar 6 dintre cele 60 de servere de comandă. „Cu alte cuvinte, am putut vedea doar 10% din reţea.“ În prezent, serverele se închid, dar nu pentru că ar fi închis şi proiectul, ci pentru că intră în hibernare. Igor Kotenko, profesor în IT la Universitatea din Sankt Petersburg, spune ca există portiţe lăsate deschise, chiar dacă virusul a fost şters, pentru a căpăta acces atunci când se va dori.

Protecţia care n-a funcţionat contra ameninţării

Cea mai mare surpriză cu care a venit descoperirea lui „Octombrie Roşu“ a fost, paradoxal, faptul că a trecut 5 ani nedescoperit. De ce nu au funcţionat soluţiile anti-virus? Pentru că, potrivit lui Andreas Marx (director administrativ la AV-Test, Germania), „Octombrie Roşu“ a infectat precis şi puţine calculatoare, în timp ce programele specializate de luptă cu ameninţările informatice se concetrează pe atacurile masive. Marx a mai afirmat că viruşi noi apar cu o medie de doi pe secundă.

„Un program anti-virus îi poate face pe oameni sa creadă că sunt protejaţi, deşi nu sunt“, a spus şi Fred Cohen, editorialist pe probleme de securitate informatică la „Journal in Computer Virology“. „Mulţi oameni descarcă tot felul de lucruri, crezând că sunt în siguranţă.“ Cohen este şi un pionier al infectărilor cu viruşi şi unul dintre iniţiatorii sintagmei computer virus. El a mai spus că orice soluţie anti-virus poate fi depăşită, iar cele mai bune alternative sunt scepticismul şi precauţia.