Informacje o ciekawym ataku wykorzystującym profilowane złośliwe oprogramowanie pojawiły się w różnych mediach, ale nadal nie ma odpowiedzi na temat zagrożenia polskich instytucji rządowych. Chociaż w mediach (nawet w PC Worldzie) sprawę się bagatelizuje sprowadzając do botnetu, jakich wiele, nie można przejść do porządku dziennego nad faktem zarażenia komputerów w instytucjach rządowych. Poza tym atak wcale nie był taki trywialny, nawet jeśli wykorzystywał eksploity pochodzące z różnych krajów. Będę tu niepoprawny politycznie i zacytuję polityka z kraju, z którego pochodzi zastosowany eksploit:

„Nieważne czy kot jest czarny, czy biały. Ważne, żeby łapał myszy”
Deng Xiaoping

Liczył się efekt końcowy. A ten został osiągnięty, bo botnet działał latami, wykradając ogrom informacji.

Czerwony Październik był czymś więcej niż tylko prymitywnym botnetem.
Pierwszą sprawą był sam dobór phishingu – w odróżnieniu od śmieci, które wiele osób z nas otrzymuje gratis do skrzynki w masowych kampaniach, wiadomości były przygotowywane pod kątem konkretnego odbiorcy.
Drugą był sposób komunikacji, który działał inaczej niż Limbo (i później popularniejszy ZeuS), unikając przy tym wykrycia przez urządzenia IPS klasy Enterprise, niewątpliwie wykorzystywane w atakowanych sieciach.
Trzecią – moduł umożliwiający odzyskanie kontroli nad przejętym, ale później „wyczyszczonym” komputerem oraz pozyskiwanie informacji z urządzeń mobilnych, włącznie ze spyware’m dla platformy Windows Mobile.
Nawet jeśli Czerwony Październik jest sztucznie rozdmuchaną akcją PR firmy Kaspersky Lab, uważam, że alarmujący jest sam fakt, że botnet był złożony z komputerów w organizacjach rządowych NATO i UE. Był nastawiony na kradzież poufnych informacji z tych instytucji – bo to właśnie one najczęściej korzystają z oprogramowania Acid Cryptofiler. To jest bardzo ważna wskazówka, której nie można bagatelizować.
Jak można było wykryć ruch generowany przez takie złośliwe oprogramowanie? Niezbędny był analizator ruchu, czyli packet sniffer, obsługiwany przez eksperta do spraw bezpieczeństwa sieci, posiadającego oprócz tego dogłębną wiedzę na temat aplikacji działających w danej organizacji.

Sniffer już był, brakowało tylko dobrego przewodnika.
Szczegóły ataku zostaną opisane w numerze 03/2013 tygodnika Computerworld, zapraszam serdecznie do lektury.