Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/01/2013
'Octubre Rojo', un virus que hauria robat documents secrets des de 2007
El ciberatac ha aconseguit accedir a informació privada governamental, d’ambaixades o centres d’investigació nuclear.
Investigadors russos han detectat un ciberatac que podria haver estat robant documents confidencials encriptats des de 2007 d’institucions governamentals com ara ambaixades i de centres d’investigació nuclear i companyies estatals de gas i petroli, segons ha informat la cadena de televisió pública britànica BBC.
El ciberatac es basa en un malware dissenyat per a robar documents encriptats i permet fins i tot sostraure documents que han sigut esborrats prèviament dels arxius informàtics. El professor de la Universitat britànica de Surrey Alan Woodward ha assegurat que es tracta d’un ciberatac "molt important". "Pareix estar intentant extraure totes les coses habituals: documents de Word, PDF... Totes les coses que es pot esperar", ha indicat. "Encara que hi ha un parell d’extensions d’arxiu que són específiques de documents encriptats", ha afegit.
En un comunicat, l’empresa especialitzada en antivirus informàtics Kaspersky Labs ha explicat que este ciberatac tenia com a objectiu "països d’Europa de l’Est, antigues repúbliques soviètiques i països d’Àsia Central" encara que les víctimes "poden estar en totes parts", "incloses Europa Occidental i Amèrica del Nord".
"L’objectiu principal dels atacants ha sigut reunir documents sensibles d’organitzacions importants, en temes com ara intel·ligència geopolítica, credencials per a accedir a sistemes informàtics classificats i dades de telèfons mòbils i equips informàtics", ha indicat Kaspersky.
En una entrevista concedida a la BBC, el responsable d’investigació de malware de Kaspersky, Vitali Kamluk, ha explicat que les víctimes d’este ciberatac han sigut cuidadosament seleccionades. "Va ser detectat a l’octubre de l’any passat", ha assenyalat. "Nosaltres iniciem les nostres avaluacions i ràpidament vam entendre que era una campanya de ciberatacs massiva", ha assegurat. Kamluk ha fet insistència en el fet que els objectius del ciberatac "pareixen estar relacionats amb organitzacions de perfil elevat". El ciberatac ha sigut batejat com a 'Octubre Rojo' i té similituds amb 'Flame', un altre programari maliciós descobert en 2012.
L’OTAN i la UE, en el punt de mira
Igual que ‘Like', 'Octubre Rojo' funciona per mitjà d’uns quants mòduls i cada un d’estos té una funció i un objectiu distint. Operatiu des de 2007, els creadors d’este atac cibernètic han registrat més de 60 dominis per a dur a terme la seua acció, majoritàriament des d’Alemanya i Rússia. L’objectiu de l’atac és robar documents encriptats amb el sistema 'Cryptofiler', utilitzat per l’OTAN i la Unió Europea per a les seues comunicacions més sensibles.
La majoria de les infeccions causades per este atac procedixen de Suïssa, Kazajistán i Grècia, entre altres països. Les persones que patien en els seus sistemes informàtics este atac cibernètic el rebien en forma de correspondència amb informació d’intel·ligència sobre una determinada persona. A diferència d’altres ciberatacs, com el famós 'Stuxnet', que va afectar la indústria nuclear iraniana, 'Octubre Rojo' no ha causat cap dany físic en infraestructures.
Kamluk ha assegurat que este ciberatac té un mòdul específic per a "recuperar arxius esborrats procedents de llapis de memòria USB". "Si està espiant quan un llapis USB està connectat, intentarà que no s’esborren els documents de l’USB. No havia vist mai abans res com açò en malware", ha explicat. A més, 'Octubre Rojo' té la capacitat d’ocultar-se quan és descobert per a aparençar que ja ha sigut esborrat. "Si és descobert, s’amaga", ha dit l’investigador principal de malware de Kaspersky Labs. "Quan tot el món pensa que ja ha sigut esborrat, envies un correu electrònic i torna a activar-se", ha advertit.
Més informació en este enllaç.