Napjainkra minden érintett szervezet rendelkezik már az informatikai rendszerek átvizsgálásához, a Red October kártevő kód azonosításához és semlegesítéséhez szükséges eszközökkel – mondta Roel Schouwenberg, a Kaspersky Lab célzott támadásokkal, kiberhadviselési és pro-aktív elhárítási technológiákkal foglalkozó észak-amerikai kutatási vezetője New Yorkban, a "Kaspersky Cyber-Security Summit 2013" kiberbiztonsági csúcsértekezleten az MTI-nek.
Hozzátette, ez azonban csak egy része a szükséges tennivalóknak, mivel szükség van még az okozott kár felmérésére és a további károkozás megelőzésére is. A Red October fertőzésre tavaly októberben bukkantak rá a Kaspersky Lab szakemberei – innen kapta a nevét, és abból, hogy kódolása valószínűleg orosz nyelven történt. A vírus orosz nyelven küldte vissza a "poloska telepítve" üzenetet megbízójának.
A Red October semmilyen forradalmi megoldást nem képviselt. Sikerét, hogy legalább öt éven át észrevételen tudott maradni, pusztán kivételesen professzionális kivitelezésének köszönhette – mutatott rá Roel Schouwenberg. A Red October elsősorban diplomáciai, kormányzati és kutató intézeteket támadó kiberkémkedési program. Elsősorban kelet-európai országokat, szovjet utódállamokat és közép-ázsiai országokat vett célba, de voltak áldozatai Észak-Amerikában és Nyugat-Európában is.
A Kaspersky szakembere nem adott részletes tájékoztatást a Red October magyarországi kártevéséről, ugyanakkor elmondta, hogy nagy valószínűséggel jelszavakat tulajdonított el és email fiókokat tört fel. A vírus eltávolítása után ezért meg kell erősíteni a hálótatok védelmi rendszerét, s át kell tekinteni a számítógépes rendszer teljes egészét – figyelmeztetett. Kifejtette, mindez azért is fontos, mert ma még kevesen fordítanak kellő figyelmet a mobil eszközök, okostelefonok vírusvédelmi átvizsgálására.
A Red October nem volt válogatós, "vitt mindent, ami a keze ügyébe került". Az összes elérhető készülékről az összes elérhető adatot. Az adatok szortírozása aztán értékes és értéktelen adatokra már valószínűleg a megbízónál történt. Mivel a megbízók már minden bizonnyal pontosan ismerik a megtámadott rendszerek architektúráját, ajánlatos azokat átalakítani. Egy olyan hálózat, amelyben minden dolgozó hozzá tud férni mindenhez, "a támadók legjobb barátja" – fogalmazott Roel Schouwenberg. A szakember szerint a legfontosabb annak átvizsgálása, hogyan csatlakoznak, hogyan lépnek be a hálózatba az alkalmazottak bentről és kintről, hogyan érik el például email postaládájukat.
A támadások úgy vannak megtervezve, hogy semmilyen jelét ne adják létezésüknek. A Stuxnet vírust is csak egy kódolási hiba árulta el, ami akaratlanul "kékhalált" okozott néhány számítógépnél. A célzott támadásoknak azonban rendszerint mégis van valamilyen jele, általában programleállás formájában. A célzott támadások túlnyomórészt elektronikus levéllel történnek, valamely csatolmány útján. Amennyiben egy megnyitott csatolmány, legyen az Excel, Word, vagy Adobe dokumentum egy pillanatra eltűnik, majd ismét megjelenik, akkor nagyon valószínű, hogy támadás történt. Ilyenkor mindenképpen értesíteni kell az IT-szakembereket. Az igazán fejlett támadásoknak azonban ilyen és hasonló látható jelei már nincsenek – figyelmeztetett a szakértő.
Minden idők egyik legnagyobb online kémkedési esetét leplezte le az orosz Kaspersky vírusirtó cég. A Red October (a vadászat a Vörs októberre című film tengeralattjárójára utal az elnevezés) nevű vírus a szakértők szerint 2007 tavasza óta volt aktív, kormányszerveket, nagykövetségeket, nukleáris kutatóközpontokat, hadiipari, illetve az olajiparban dolgozó cégeket fertőzött meg. A vírus fő célja a titkos dokumentumok ellopása volt, az innen szerzett adatoklat gazdái valószínűleg ipari vagy politikai kémkedési ügyletekben használták fel.
A fő célpontok Kelet-Európában, a volt szovjet-tagköztársaságok területén, illetve Közép-Ázsiában voltak, de amerikai és nyugat-európai áldozatok is akadnak. A legtöbb fertőzött gépet Oroszországban, Kazahsztánban, Azerbajdzsánban, Belgiumban és Indiában találták eddig. A jelentés nyilvánosságra hozott része Magyarországot egyszer említi, egy meg nem nevezett ország budapesti nagykövetségén észlelték a Red October fertőzését a rendszerben. A hét második felére ígéri a Kaspersky a teljes, 100 oldalas tanulmány megjelentetését a vírusról.
Szakértők
szerint a vírus igen kifinomult, és több olyan megoldást is alkalmaz, amit még nem láttak digitális kártevőtől. A terjedéséhez viszont régi, bevált módszereket, adathalász emaileket, fertőzött weboldalakat, Word- és Excel-dokumentumokat használ. A program moduláris felépítésű, több mint ezer modult fejtettek vissza eddig, és a forráskód, illetve az ahhoz fűzött megjegyzések kínai és orosz programozók munkájára engednek következtetni. Persze az is elképzelhető, hogy ez csak az álcázás része, és az orosz, illetve programozói szlengben elterjedt kifejezésekkel csak félrevezetésből szórták meg az angol nyelvű megjegyzéseket a programsorok mellett.
A Vörös október elsősorban .doc és .pdf dokumentumfájlokra utazott (illetve utazik, hiszen a Kaspersky szakértői szerint a mai napig aktív, a legutolsó módosítások január elején kerültek a kódba), különös tekintettel a titkosított, kódolt dokumentumokra. Külön modulja volt arra, hogy ba fertőzött számítógépre csatlakoztatott okostelefonokról, illetve a gépre dugott pendrive-okról lementse az érdekesnek tűnő tartalmat, még a törölt fájlokat is vissza tudta állítani ezekről. A vírus a billentyűzetet és webkamerát is figyelte, rögzítette a gombnyomásokat, illetve a kamera képét, ezen kívül email-archívumokat, céges ftp-szerverek tartalmát is lemásolta és továbbította a vezérlő szervereire, amelyeket Oroszországban és Németországban találtak meg eddig. A Kaspersy specialistái 250 ip-címen összesen 55 ezer fertőzött számítógépet találtak tavaly november óta, a két szám aránya azt mutatja, hogy jellemzően nagy belső hálózattal rendelkező szervezeteket támadott meg a vírus.
