Er is een nieuwe cyberspionage-campagne ontdekt die tegen ambassades en wetenschappelijke onderzoeksorganisaties uit verschillende landen gericht was, en slaagde omdat de slachtoffers beveiligingsupdates voor Microsoft Office niet hadden geïnstalleerd. Operatie "Red October", zoals het Russische anti-virusbedrijf Kaspersky Lab de aanval noemt, zou al in 2007 zijn begonnen en is nog steeds gaande.

De primaire focus van de campagne is gericht op landen in Oost-Europa, de voormalige Sovjetrepublieken en landen in Centraal-Azië. Slachtoffers zijn echter overal te vinden, inclusief in West-Europa en Noord-Amerika. Het is de aanvallers vooral te doen om het verzamelen van gevoelige documenten van de getroffen organisaties.

Updates
De organisaties raakten geïnfecteerd via e-mailbijlagen waarin een kwaadaardig Office-document zat verstopt. De aanval werkte alleen omdat de updates voor de beveiligingslekken waar deze documenten misbruik van maakten, niet waren geïnstalleerd. Waren de computers wel gepatcht, dan hadden de documenten geen schade veroorzaakt en waren de computers niet besmet geraakt.

Het gaat ook om beveiligingslekken waar al geruime tijd updates voor beschikbaar zijn. Zo zijn een Excel-lek uit 2009 en twee Word-lekken uit respectievelijk 2010 en 2012 ingezet. In eerste instantie verliepen de aanvallen alleen via het Excel-lek uit 2009. In de zomer van vorig jaar werden de Word-lekken ook gebruikt.

Datadiefstal
Om het netwerk van geïnfecteerde computers aan te sturen, creëerden de aanvallers meer dan 60 domeinnamen en diverse server hostlocaties in verschillende landen, waarvan het merendeel in Duitsland en Rusland. De gebruikte Command & Control (C2)-infrastructuur toont aan dat de keten van servers in feite dienst deed als proxies, om de locatie van de control server van het 'moederschip' te verbergen.

Op besmette systemen werden onder andere bestanden met de extensies: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr en acidssa gestolen.

De "acid*"-extensies in het bijzonder lijken te verwijzen naar de geheime "Acid Cryptofiler"-software die door verschillende instanties wordt gebruikt, van de Europese Unie tot de NAVO.

Malware
Naast het aanvallen van traditionele werkstations, is de 'Rocra-malware' ook in staat om data te stelen van mobiele apparaten zoals smartphones (iPhone, Nokia en Windows Mobile). De malware kan bovendien configuratiegegevens stelen van netwerkapparatuur zoals routers en switches, maar ook verwijderde bestanden van verwisselbare schijfstations. In totaal detecteerde de virusbestrijder duizend kwaadaardige bestanden, waarvan de eerste van mei 2010 dateert.

De malware wist meer dan 300 unieke systemen te infecteren, waarvan de meesten (35) in de Russische Federatie staan. België staat met 15 computers op een gedeeld derde plek.

"Met Rocra wisten de aanvallers meer dan 5 jaar onopgemerkt blijven en detectie van de meeste anti-virusproducten omzeilen, terwijl ze bezig bleven met het stelen van gegevens, wat inmiddels terabytes zal bedragen", aldus Kaspersky Lab.