Beveiligingsbedrijf Kaspersky beschrijft een zeer geavanceerd cyberspionagenetwerk, Rocra of Red October gedoopt, dat maar liefst vijf jaar lang onder de radar is gebleven. De groep heeft terabytes aan uiterst vertrouwelijke en mogelijk staatsgeheime informatie bemachtigd via een combinatie van spear phishingmails, social engineering, kwetsbaarheden in Microsoft Office en Java, en zeer uitgebreide spionagemalware, compleet modulair opgebouwd.

Staats- en bedrijfsgeheimen ontfutseld

Slachtoffer van de langdurige campagne zijn ministeries, ambassades, legeronderdelen, de petrochemische industrie, kerncentrales, onderzoeksinstituten en luchtvaartbedrijven. Het gaat om een gerichte cyberinfiltratie, tot op heden heeft Kaspersky slechts circa 300 infecties geteld, vooral computers in Rusland en Oost-Europa, maar ook in de VS en West-Europa, vooral België. Dat laatste kan duiden op spionage bij Europese instanties en de NAVO.

Uit het onderzoek blijkt dat de malware talloze soorten vertrouwelijke documenten exfiltreerde, waaronder bestanden gemaakt met de software "Acid Cryptofiler", gebruikt door onder meer de NAVO.

Office en Java-exploits

Naast exploits voor Microsoft Word en Excel, meldt de Israëlische secutityspecialist Aviv Raff dat ook een Java-gat is misbruikt. Eenmaal binnen op een pc of mobiel device, werd zoveel mogelijk specificaties van hard- en software verzameld, waarna talloze modules werden gedownload en geïnstalleerd om geheime informatie te extraheren.

Qua complexiteit is Red October vergelijkbaar met Flame, maar er is geen connectie. Rocra is vanaf de grond af opgebouwd en is nergens anders voor gebruikt, stelt Kaspersky. Flame was qua cryptografie echter onovertroffen en noopte Microsoft tot het intrekken van tientallen beveiligingscertificaten en het verbouwen van zijn Update-architectuur.

Chinees-Russisch

Over de herkomst van de campagne constateert het securitybedrijf: “De exploits (om binnen te komen) lijken gemaakt door Chinese hackers, de Rocra-malware modules (de daadwerkelijke spionagesoftware) zijn gebouwd door Russisch sprekende makers."