Kaspersky Lab individua loperazione Ottobre Rosso, campagna di spionaggio informatico

Kaspersky Lab ha pubblicato una ricerca relativa ad una campagna di spionaggio informatico, i cui obiettivi sono stati per almeno cinque anni i governi e le organizzazioni di ricerca scientifica localizzati in diversi paesi. Questa campagna ha preso di mira in particolar modo alcuni paesi quali quelli appartenenti all’ex URSS e i paesi dell’Asia Centrale, anche se vittime sono state localizzate anche in Europa Occidentale e nel Nord America.
L’obiettivo degli aggressori era quello di raccogliere documenti sensibili utilizzati nelle organizzazioni, tra cui informazioni di intelligence geopolitica, le credenziali per accedere ai sistemi informatici e dati presenti sui dispositivi personali mobile e su strumenti di rete.  
Ad ottobre 2012 il team di esperti di Kaspersky Lab  ha avviato un’inchiesta a seguito di una serie di attacchi effettuati contro le reti informatiche delle agenzie internazionali di servizi diplomatici. Durante l’indagine sono emerse attività di spionaggio informatico su larga scala.
Secondo il rapporto di analisi di Kaspersky Lab, l’Operazione Ottobre Rosso, chiamata “Rocra”, ancora attiva a gennaio 2013, è una campagna che resiste dal 2007.  
Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche “Rocra”, con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan.  
Gli aggressori utilizzano poi le informazioni sottratte per entrare nei sistemi. Per esempio, le credenziali rubate sono state riportate in un elenco e utilizzate dai criminali per individuare le password per accedere ai sistemi.   Per controllare la rete di computer infetti, gli aggressori hanno creato più di 60 domini e punti di hosting in diversi paesi, la maggior parte in Germania e Russia.
Le analisi di Kaspersky Lab sulle infrastrutture di comando & controllo (C2) di Rocra dimostrano che la catena di server proxie è servita per nascondere la posizione del server di controllo della “macchina madre”.  
Le informazioni rubate dai sistemi infetti comprendono documenti con estensione: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l’estensione “acid*” fa riferimento al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti come l'Unione Europea  e la NATO.