La firma de seguridad asegura que el malware usaba ataques conocidos sobre Microsoft Word y Excel para obtener así el acceso a los sistemas de los usuarios, basándose en un tipo de phishing con el fin de engañar a los usuarios para que abrieran los archivos infectados, recopilando datos sobre futuros objetivos múltiples.
La información ha sido revelada por Vitaly Kamluk, experto de la firma en este tipo de malware, a través de una entrevista al New York Times. Según el investigador, habrían detectado alrededor de 300 equipos en el mundo infectados, todos relacionados con entidades de primer nivel.
Kamluk cuenta que tras la infección inicial, el malware puede descargar módulos que le permiten hacer de todo, desde la apropiación de datos de smartphones conectados localmente hasta dispositivos USB, descargas de Outlook locales, datos de correos electrónicos, registro de pulsaciones de teclado o toma de capturas de pantalla. Karpersky indica que Rocra es administrado por una red de 60 servidores con IPs en su mayoría situados en Rusia y Alemania, según las investigaciones, con una fuerte evidencia de que los atacantes son de habla rusa.
Tal y como se describe, Red October sería una reminiscencia del malware conocido como Stuxnet en el 2009 o de los posteriores Duqu y Flame, aunque la firma dice que no han encontrado hasta ahora conexión con estos.
Finalmente se habla del posible objetivo al que ha ido destinada toda la información recopilada. Se estima que en estos cinco años de Rocra en activo habría canalizado cientos de terabytes de datos, información que a su vez podría haber sido vendida en el mercado negro o utilizada directamente por los atacantes.
Una investigación que aún sigue en curso y a la que Kaspersky ofrecerá más información en los próximos días.
Fuente:
ALT1040