Ottobre Rosso nel celebre romanzo di Tom Clancy, da cui è stato poi tratto l’omonimo film, era il nome di un sottomarino russo che grazie al sistema a propulsione silenziosa risultava invisibile ai sonar. In tempi più recenti è stato preso a prestito per dare un nome alla sofisticata rete di cyber spionaggio identificata grazie alle segnalazioni giunte da Governi, ambasciate e reti diplomatiche, oltre che aziende energetiche.
Si tratta di una serie di attacchi di spear phishing con email molto personalizzate per target specifici — spiegano gli esperti di WebSense, nota azienda del settore sicurezza e antivirus– contenenti allegati malevoli sotto forma di file Microsoft Office.
Una volta che i file Office venivano aperti dagli utenti, un eseguibile malevolo veniva scaricato nel PC della vittima e si apriva un altro file Office embedded solo per dare all’utente inconsapevole la falsa impressione di non aver aperto un allegato malevolo.
Java è stato individuato come un vettore di attacco usato nelle campagne spear phishing. Per usare Java, i cyber criminali alle spalle di Ottobre Rosso inviavano un’email spear phish con un link malevolo che sarebbe stato aperto dalla vittima e avrebbe caricato un applet Java nocivo per infettare la macchina.
Ecco cosa accade con un’ email in presenza di Ottobre Rosso:
• L’utente ignaro riceve un’email con un file Office allegato e lo apre
• L’exploit si installa e lancia due file: uno vuoto di Word o Excel file e un .EXE malevolo
• Word o Excel poi si bloccano e si chiudono mentre il .EXE malevolo viene lanciato insieme al documento vuoto, in questo modo l’utente non si accorge di nulla.
Questo, come molti altri attacchi mirati, trae vantaggio dagli interessi delle vittime. L’aspetto di social engineering degli attacchi mirati è quello che ne garantisce il successo, quindi è importante fare molta attenzione quando si apre un’email con allegati o link, specialmente se sono email non richieste.