Octubre Rojo, la campaña de ciberespionaje contra gobiernos de todo el mundo

CortafuegosEmpresasSeguridad
Octubre Rojo Kaspersky

Octubre Rojo está dirigida contra organizaciones diplomáticas, centros de investigaciones científicas y organismos gubernamentales en varios países, dice Kaspersky.

Kasperky ha descubierto otra campaña de ciberespionaje a nivel mundial cuyos objetivos  son organismos gubernamentales, grupos políticos y centros de investigación. La campaña se dirige principalmente a países de Europa Oriental, las exrepúblicas de la antigua URSS y los países de Asia Central, aunque las víctimas se encuentran en todas partes de Europa Occidental y América del Norte.

El objetivo de Octubre Rojo es obtener información sensiblre así como credenciales de acceso a ordenadores, dispositivos móviles y equipos de red. Y decimos ‘es’ porque Octubre Rojo, Rocra por sus siglas en inglés, sigue activa y lleva operando desde 2007.

Rocra se descubrió el pasado mes de octubre, cuando un grupo de investigadores de Kaspersky Lan iniciaron una investigación después de detectarse una serie de ataques contra redes informáticas internacionales de distintas agencias de servicios diplomáticos.

Los atacantes Octubre Rojo diseñaron su propio malware, identificado como “Rocra”, que tiene su propia arquitectura modular única compuesta por extensiones, módulos maliciosos para robo de información y puertas traseras, explican desde Kaspersky.

Los ciberdelicuentes usaban la información extraída de redes infectadas para tener acceso a sistemas adicionales. Para controlar la red de equipos infectados crearon más de 60 nombres de dominio y los hospedaron en varios servidores de diferentes países, principalmente en Alemania y Rusia.

La información robada de los sistemas incluye documentos con las extensiones: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. La extensión “acid” concretamente aparece para referirse al  software clasificado  “Acid Cryptofiler” utilizado por entidades como la Unión Europea o la OTAN para cifrar sus archivos.

Los ciberdlincuentes atacaban los equipos de las víctimas mediante una campaña de phishing personalizada que incluía un troyano en un archivo adjunto. El troyano instalaba el malware explotando vulnerabilidades de seguridad conocidas dentro de Microsoft Office y Microsoft Excel.

Leer la biografía del autor  Ocultar la biografía del autor