Home Security Red October-cyberspionnen slaan weer toe

Red October-cyberspionnen slaan weer toe

71

Cyberspionnen gaan niet met pensioen
Net zoals de gelijknamige Russische duikboot van Sean Connery in de film duikt Red October na vermeende torpedering weer op. De cyberspionagecampagne die tot 2012 vijf jaar lang ongezien heeft gewerkt, keert terug met nieuwe supermalware.

Cyberspionnen gaan niet weg na ontdekking, maar gaan ook niet gelijk elders door met hun malwarewerk. Dit in tegenstelling tot cybercriminelen die hun massale besmettingswerk gelijk elders voortzetten. Nee, digitale James Bonds houden zich schuil, herzien hun aanpak en keren terug. Zoals de cyberspionnen achter de geruchtmakende Red October-malware die in oktober 2012 is ontdekt en die in januari 2013 schijnbaar ten onder is gegaan. De daders hebben toen na de onthulling door onze GReAT-experts (Global Research and Analysis Team) zelf hun infrastructuur opgedoekt, maar dus niet om met pensioen te gaan.

Diplomatieke auto te koop.doc
De getalenteerde hackers achter Red October, dat onder andere via Word, Excel, Flash en Java binnenkwam, zijn namelijk terug. Onze security-onderzoekers zijn op nieuwe, zeer geavanceerde spyware gestuit die afkomstig blijkt te zijn van dezelfde makers. Onze partner Blue Coat Labs spreekt van “één van de meest geraffineerde malware-aanvallen die het ooit heeft gezien”.

Deze nieuwe cyberspionage-aanval is door ons Cloud Atlas gedoopt en teruggevoerd naar de aanvallers achter Red October. De eerste hint voor deze afstamming zit in een malafide Word-document waarin zogenaamd een diplomatieke auto te koop wordt aangeboden. Dat eenvoudige inspelen op menselijke nieuwsgierigheid wordt in de Cloud Atlas-campagne met meer documenten gedaan, die elk geladen zijn met complexe malware die weer andere malware binnenhaalt.

Aangepast aan het moderne slachtoffer
De aansturing van die kwaadaardige software wordt gedaan vanaf de Zweedse cloudopslagaanbieder CloudMe, waar de aanvallers voor elke besmetting gratis accounts hebben aangemaakt. Zowel de – voornamelijk Russische – doelwitten van deze cyberspionagecampagne als een reeks details in de technische werkwijze zijn gelijk aan die van Red October. Kleine verschillen zitten in aanpassingen voor de huidige geopolitieke situatie van Rusland en in technische verbeteringen van de kwaadaardige software. De nu gebruikte software is wederom zeer efficiënt gemaakt en benut hoogstaande technieken om zichzelf te verbergen, te repareren en uit te breiden.

Cloud Atlas gaat ook qua platformen mee met zijn tijd. Zo was het ‘Zwitserse zakmes’ Red October met meer dan duizend aparte componenten toch vooral gericht op pc’s met Windows. Daarbij was de spyware wel in staat om iPhones, Nokia-smartphones en USB-drives te infecteren zodra die werden aangesloten op een gecompromitteerde Windows-pc. De nu blootgelegde Cloud Atlas-campagne daarentegen omvat ook ‘zelfstandige’ malware voor iPhones, iPads, Android-toestellen en BlackBerry-smartphones. Daarnaast wordt de superspyware bijgestaan door geplande MMS-phishingcampagnes die via minstens zestig verschillende mobiele operators worden uitgevoerd.

Van Rusland naar wereldverovering
Terwijl topmanagers, diplomaten en legerleiders in Rusland de voornaamste doelwitten zijn, breidt Cloud Atlas zijn werkterrein uit naar wereldniveau. Net zoals Red October ook wereldwijd heeft huisgehouden, onder overheden, legeronderdelen, chemiebedrijven, energiecentrales, onderzoeksinstituten en luchtvaartfirma’s. We weten uit eigen onderzoek dat een aantal van de toenmalige slachtoffers van Red October nu opnieuw op de korrel zijn genomen. In één specifiek geval is de computer van een slachtoffer in de afgelopen twee jaar maar twee keer aangevallen: één keer door Red October en één keer door Cloud Atlas.

Martijn van Lom is General Manager Benelux bij Kaspersky Lab

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in