Red de Ciberespionaje Avanzado Octubre Rojo: Los ataques han estado activos por lo menos desde 2007 y se han centrado en las agencias diplomáticas y gubernamentales de diversos países de todo el mundo, además de instituciones de investigación, grupos energéticos y nucleares, comercio y objetivos aeroespaciales. Los atacantes Octubre Rojo diseñaron su propio malware, identificado como "Rocra", que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras.
Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Por ejemplo, las credenciales robadas se recogían en una lista que se reutilizaba cuando los atacantes necesitan acceso a nuevos sistemas.
Para controlar la red de equipos infectados, crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia. El análisis del C&C realizado por Kaspersky Lab muestra que la infraestructura de la cadena de servidores estaba trabajando como proxies (equipos intermedios) para ocultar la ubicación del servidor de control principal.
La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente aparece para referirse al software clasificado "Acid C ryptofiler" utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.
Víctimas infectadas
Los ciberdlincuentes atacaban los equipos de las víctimas mediante una campaña de
phi shing personalizada que incluía un troyano en un archivo adjunto. El troyano instalaba el malware a través de explotar vulnerabilidades de seguridad dentro de Microsoft Office y Microsoft Excel.
Algunos de estos exploits se han localizado en otras campañas de ciberataques, como las realizadas contra los activistas del Tíbet y contra el sector energético en Asia. En este caso, la única variación introducida en el documento utilizado por Rocra se encuentra en el ejecutable integrado que los atacantes sustituyeron por su propio código.
Tenemos algunas pistas que pueden indicar que los desarrolladores del código malicioso utilizaban el idioma Ruso. En particular, uno de los comandos en el troyano cambia el código de página de un equipo infectado a 1251, código requerido para representar fuentes cirílicas.
Marcadores