• Los atacantes han creado un malware único capaz de robar información de sistemas informáticos de organizaciones, equipos de red empresarial y teléfonos móviles
  • El objetivo principal de esta campaña se dirige a países de Europa Oriental, las repúblicas de la antigua URSS y países de Asia Central, aunque las víctimas se encuentran en Europa Occidental y América del Norte
  • Se han registrado más de 55.000 conexiones de víctimas desde unas 250 direcciones IP infectadas en 39 países. La mayoría de las conexiones procedían de Suiza, seguido por Kazajstán y Grecia. España representa el 2% de las infecciones



Kaspersky Lab ha publicado hoy un in forme de investigación que identifica una nueva campaña de ciberespionaje dirigida contra organizaciones diplomáticas, centros de investigaciones científicas y organismos gubernamentales en varios países, que lleva operando desde hace al menos cinco años. Esta campaña se dirige principalmente a países de Europa Oriental, las exrepúblicas de la antigua URSS y los países de Asia Central, aunque las víctimas se encuentran en todas partes de Europa Occidental y América del Norte.


El principal objetivo de los creadores era obtener documentación sensible de las organizaciones comprometidas, que incluyeran datos de inteligencia geopolítica, así como credenciales de acceso a sistemas clasificados de ordenadores, dispositivos móviles personales y equipos de red.


En octubre de 2012, el equipo de expertos de Kaspersky Lab inició una investigación, a raíz de una serie de ataques dirigidos contra redes informáticas internacionales de distintas agencias de servicios diplomáticos. Según el informe de análisis de Kaspersky Lab, la Operación Octubre Rojo, también llamada “Rocr a” por sus siglas en inglés, todavía sigue activa y lleva operando desde 2007.


Red de Ciberespionaje Avanzado Octubre Rojo: Los ataques han estado activos por lo menos desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares, comercio y objetivos aeroespaciales. Los atacantes Octubre Rojo diseñaron su propio malware, identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras.

Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.

Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del servidor de control principal.

La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente aparece para referirse al software clasificado "Acid C ryptofiler" utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.




Víctimas infectadas
Los ciberdlincuentes atacaban los equipos de las víctimas mediante una campaña de phi shing personalizada que incluía un troyano en un archivo adjunto. El troyano instalaba el malware a través de explotar vulnerabilidades de seguridad dentro de Microsoft Office y Microsoft Excel.

Algunos de estos exploits se han localizado en otras campañas de ciberataques, como las realizadas contra los activistas del Tíbet y contra el sector energético en Asia. En este caso, la única variación introducida en el documento utilizado por Rocra se encuentra en el ejecutable integrado que los atacantes sustituyeron por su propio código.

Tenemos algunas pistas que pueden indicar que los desarrolladores del código malicioso utilizaban el idioma Ruso. En particular, uno de los comandos en el troyano cambia el código de página de un equipo infectado a 1251, código requerido para representar fuentes cirílicas.