Honderden ambassades en wetenschapsinstellingen die door het Red October spionagevirus werden geïnfiltreerd liepen niet alleen achter met het patchen van Microsoft Office, een aantal organisaties werd ook via een oud Java-lek gehackt. Het Russische anti-virusbedrijf Kaspersky Lab onthulde gisteren Operatie Red October.

Aanvallers wisten via een onbekend spionagevirus vijf jaar lang onopgemerkt terabytes aan gegevens te stelen. De aanvallers wisten de organisaties te hacken via bekende lekken in Microsoft Excel en Word. Slachtoffers kregen Word- en Excel-bestanden toegestuurd waarin een exploit zat verstopt. Zodra de bestanden op ongepatchte computers werden geopend, werd de 'Rocra' malware geïnstalleerd, wat voor Red October staat.

Flame
Hoewel er geen enkele connectie tussen geavanceerde malware zoals Flame, Duqu en Gauss en Rocra is ontdekt, lijkt het erop dat de makers wel wat ideeën van deze 'supervirussen' hebben geleend.

"Ik kan me voorstellen dat de auteurs van Red October de analyses van Flame hebben gelezen, ideeën van de concurrentie hebben gestolen en aan hun eigen malware toegevoegd", zegt Mikko Hypponen van het Finse F-Secure. De Rocra malware zou in vergelijking met Flame en Gauss een stuk persoonlijker zijn en meer afgestemd op de slachtoffers, aldus de analyse van Kaspersky Lab. In totaal werden zo'n 300 unieke systemen besmet.

USB-stick
De malware beschikt over tientallen modules, onder andere voor het herstellen van verwijderde bestanden op USB-sticks. Die worden vervolgens door de malware gestolen. Daarnaast wacht de malware op een iPhone of Nokia telefoon die op de besmette computer wordt aangesloten.

Vervolgens worden allerlei gegevens over de telefoon, zoals adresboek, belgeschiedenis, kalender, sms-berichten en surfgeschiedenis gestolen. In het geval het slachtoffer een Windows Mobile phone aansloot, werd die met een mobiele variant van de Rocra-malware geïnfecteerd.

Java
Alle data werd vervolgens via tientallen Command & Control-servers verstuurd. Op één van deze servers ontdekten onderzoekers van beveiligingsbedrijf Seculert ook een Java-exploit. Naast het versturen van e-mails met Office-bestanden, werden er ook e-mails met een link naar slachtoffers gestuurd.

Die link wees naar een website met een Java-exploit. De exploit maakte misbruik van een beveiligingslek dat in oktober 2011 door Oracle werd gepatcht. De exploit werd echter pas in februari 2012 gemaakt.

De via Java gehackte organisaties liepen dus zo'n vier maanden met het installeren van Java-updates achter. Net als met de Office-exploits hadden alle gehackte organisaties zich kinderlijk eenvoudig kunnen beschermen door het installeren van beveiligingsupdates.

Wie er achter de aanvallen zit is nog altijd onduidelijk. Volgens Kaspersky zijn de exploits door Chinese hackers gemaakt, terwijl de Rocra-modules het werk van Russisch sprekende programmeurs zijn.