本文節選自《Red October” Diplomatic Cyber Attacks Investigation》

摘要

在2012年10月，卡巴斯基實驗室全球研究&分析團隊發起了一項關于新威脅的研究，研究的目標是目前針對各種國際外交服務機構的網絡攻擊。在調查過程中，一個大型的網絡間諜網絡被揭露和分析，我們稱之為“紅色十月”（來源于著名的小說《獵殺紅色十月）。

本報告以多個不同國家的政府和科研機構遭受的攻擊為背景進行詳細的技術分析，涉及到的地區包括東歐，前蘇聯和中亞。

攻擊者的主要目的是從有關部門收集情報，其中包括計算機系統，個人移動設備和網絡設備。

最早的證據顯示，網絡間諜活動始于2007年，并且在筆者發稿時（2013年1月）仍然活躍。此外，攻擊者購買（C＆C）服務器時的注冊數據和獨特的惡意病毒文件名可以追溯到2007年5月甚至更早的時間。

主要發現

先進的間諜網絡：攻擊者潛伏多年，側重于各國在世界各地的外交和政府機構。

攻擊者獲取的信息在后續的攻擊中被重復使用。例如，被盜的認證信息被整理成冊并在攻擊者需要猜解口令時使用。為了控制受感染的機器組成的網絡，攻擊者在不同的國家（主要是德國和俄羅斯）創建了超過60個域名和幾個服務器的位置。

獨特的架構：攻擊者創建了一個多功能的工具包，其中有一個收集情報的功能。

各種各樣的目標：除了傳統的攻擊目標（工作站），該系統還能從移動設備夠竊取數據，如智能手機（iPhone，諾基亞，Windows Mobile），企業網絡設備（思科），可移動磁盤驅動器（包括使用恢復程序恢復已刪除的文件）。

Exploit：我們找到的樣品使用的攻擊代碼是利用Microsoft Word和Microsoft Excel中的漏洞。

攻擊者何許人也：根據C＆C服務器和眾多惡意軟件的可執行文件中，我們堅信，攻擊者屬俄語系。至今為止，攻擊者非常低調，他們從來沒有參與任何其他有針對性的網絡攻擊。

第一階段

在我們的調查中，我們無法找到任何攻擊中使用的電子郵件。然而，根據間接證據，我們知道電子郵件使用下列方法之一發送：

1.從免費的公共電子郵件服務提供商獲取的免費郵箱

2.從已被感染組織中拿到使用的郵箱

我們發現了至少三種最近的exploit:CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word)

一個顯著的事實是攻擊者使用的攻擊代碼原本來自中國。唯一的改變是在文檔中嵌入的可執行文件，這次攻擊者使用的是他們自己的代碼。

附件中以下三個文件被運行：

%TEMP%\MSC.BAT
%ProgramFiles%\WINDOWS NT\LHAFD.GCP (<- This file name varies)%ProgramFiles%\WINDOWS NT\SVCHOST.EXE

MSC.BAT包括以下內容

chcp 1251 
:Repeat 
attrib -a -s -h -r "%DROPPER_FILE%" 
del "%DROPPER_FILE%" 
if exist "%DROPPER_FILE%" goto Repeat 
del "%TEMP%\msc.bat"

??

LHAFD.GCP文件使用RC4加密，由“zlib的”庫壓縮。該文件本質上是一個后門程序，由加載程序模塊（svchost.exe）解碼。解碼后的文件會注入到系統內存中，并負責與C＆C服務器通信。

??

在受感染的系統中，每一個任務是由主后門程序控制，如果互聯網連接可用，它會連接到三個微軟的主機：

update.microsoft.com 
www.microsoft.com 
support.microsoft.com

??

互聯網連接驗證完畢后，加載器執行的的主要后門程序會連接到C＆C服務器：

??

與C＆C的連接是加密的，且使用不同的加密算法來發送和接收數據。

??

??

第二階段

在與C＆C服務器建立連接后，后門開始通信過程并加載附加模塊。這些附加模塊可以被分為兩類：離線和在線。這些類別之間的主要區別是他們在受感染的系統的行為有所不同：

離線：存在于本地磁盤上，能夠創建系統的注冊表項，本地磁盤的日志文件，可自發與C＆C服務器上進行通信。

在線：只存在于系統內存中，不會保存到本地磁盤，不會創建注冊表項，在所有的記錄也保存在內存中。

??

時間線

我們已經確定了與超過30個木馬模塊相關的1000個惡意軟件，他們大多是在2010年5月和2012年10月創建的。

Year 2010

19.05.2010 
21.07.2010 
04.09.2010

Year 2011

05.01.2011 
14.03.2011 
05.04.2011 
23.06.2011 
06.09.2011 
21.09.2011

Year 2012

12.01.2012