Niemal dwa lata temu eksperci z Kaspersky Lab opublikowali badanie dotyczące Red October – złożonej operacji cyberszpiegowskiej, której celem stały się placówki dyplomatyczne na całym świecie. Teraz „Czerwony Październik” wraca pod postacią kampanii Cloud Atlas. Po publikacji przez Kaspersky Lab analizy operacji Red October w styczniu 2013 r. cyberprzestępcy zaprzestali swoich działań i zdemontowali sieć serwerów kontroli.
Jednak w przypadku tak dużych operacji, biorąc pod uwagę ogromną inwestycję i ilość wykorzystanych zasobów, nigdy nie można powiedzieć, że udało się je wyeliminować raz na zawsze. Zwykle stojąca za nimi grupa przechodzi na kilka miesięcy do tzw. podziemia, zmieniając swoje narzędzia i szkodliwe oprogramowanie, a następnie wznawia operacje.
Cloud Atlas i Red October – podobieństwa
Pierwsze oznaki powrotu operacji Red October pojawiły się wraz z końcem 2013 r. pod postacią nietypowego szkodliwego oprogramowania Mevader. Mimo podobieństw wielu aspektów technicznych (np. konwencja nazw serwerów kontroli) trop okazał się zbyt słaby. Dopiero w sierpniu 2014 r. analitycy z Kaspersky Lab zauważyli coś, co wzbudziło w nich podejrzenie, że Red October wrócił na dobre. Wtedy to zauważono ataki ukierunkowane realizowane przy użyciu nietypowego zestawu szkodliwego oprogramowania, gdzie podobieństwa do operacji Red October były oczywiste. Na początku uwagę ekspertów przykuła m.in. jedna z nazw plików wykorzystywanych przez atakujących do infekowania komputerów potencjalnych ofiar: „Diplomatic Car for Sale.doc”. Red October próbował atakować, zachęcając także do zakupu samochodów, którymi podróżowali dyplomaci. Co ciekawe, ataki te były skierowane przeciwko tym samym ofiarom.
Dalsza analiza tego tropu doprowadziła do odkrycia wielu podobieństw w technikach wykorzystywanych przez cyberprzestępców.
Podobnie jak w przypadku operacji Red October, głównym celem Cloud Atlas jest Rosja, na drugim miejscu znajduje się natomiast Kazachstan – tak wynika z danych pochodzących z Kaspersky Security Network (KSN). Ponadto cele w tych dwóch państwach częściowo pokrywają się.
Szkodliwe programy wykorzystywane w kampaniach Cloud Atlas i Red October opierają się na podobnym schemacie – module ładującym i docelowej funkcji szkodliwej przechowywanej w postaci zaszyfrowanej i skompresowanej w pliku zewnętrznym. Innym podobieństwem jest wykorzystywanie identycznych algorytmów kompresji w obydwóch operacjach (wersja zastosowana w Cloud Atlas została udoskonalona).
Najmocniejszym ogniwem łączącym opisywane operacje są prawdopodobnie ich cele. Z danych pochodzących z Kaspersky Security Network wynika, że niektóre z ofiar kampanii Red October są również ofiarami Cloud Atlas. W co najmniej jednym przypadku komputer ofiary został zaatakowany w ciągu ostatnich dwóch lat tylko dwa razy i to przy użyciu tylko dwóch szkodliwych programów – Red October i Cloud Atlas.
Z głową w chmurach – jak Cloud Atlas komunikuje się z serwerami kontroli
Narzędzia cyberprzestępcze wykorzystywane w kampanii Cloud Atlas stosują nietypowy mechanizm kontroli. Łączą się z określonymi zasobami znajdującymi się w serwisie CloudMe oferującym usługi chmurowe. To właśnie tam cyberprzestępcy umieszczają polecenia dla zainfekowanych maszyn i tam składowane są informacje wykradzione od ofiar. Co ważne, firma CloudMe nie jest w żaden sposób powiązana z grupą Cloud Atlas – osoby atakujące po prostu zakładają darmowe konta u tego dostawcy i wykorzystują je do kontrolowania swoich operacji.
Dlaczego reaktywacja nastąpiła po tak długim czasie?
Po publicznym zdemaskowaniu kampanii ataków ukierunkowanych grupy cyberprzestępców zachowują się w przewidywalny sposób. Większość atakujących po prostu przenosi serwery kontroli w inne miejsce, delikatnie zmienia szkodliwe oprogramowanie i dalej prowadzi swoje kampanie. Inne grupy, bardziej zaniepokojone zdemaskowaniem, ulegają „hibernacji” na całe miesiące lub lata. Niektóre nigdy nie wracają, a przynajmniej nie używają ponownie tych samych narzędzi i technik. Gdy jednak odkryta zostanie większa operacja cyberszpiegowska, atakujący nie likwidują wszystkiego całkowicie. Na pewien czas znikają z Sieci, aby całkowicie zmienić swoje narzędzia, przegrupować się i powrócić z odnowionymi siłami. Tak, zdaniem ekspertów z Kaspersky Lab, stało się w przypadku kampanii Red October, która powróciła pod postacią operacji Cloud Atlas.