Diplomáciai, kormányzati és tudományos kutatással foglalkozó szervezeteket támad világszerte, de elsősorban a kelet-európai országokra, a Szovjetunió volt tagállamaira, illetve Közép-Ázsiára koncentrálva már legalább öt éve egy kiberkémkedési kampány. Az úgynevezett Vörös Október művelet keretein belül a támadók érzékeny adatokat szereznek meg a célpontok számítógépes és mobilrendszereiről.
A 2007 óta aktív támadók saját kártevőt fejlesztettek ki, amit a Kaspersky Lab Rocra néven azonosított. Ennek a kártékony programnak saját, egyedi moduláris felépítése van rosszindulatú bővítményekkel, adatlopásra specializált modulokkal és úgynevezett „backdoor” trójaikkal, amelyek jogosulatlan hozzáférést biztosítanak a megtámadott rendszerhez, és így lehetővé teszik további kártevők telepítését és személyes adatok lopását. A támadók gyakran használják a fertőzött hálózatokról kinyert információkat további rendszerek eléréséhez. Például a lopott hitelesítések támpontot adhatnak a kiegészítő rendszerek hozzáféréséhez szükséges jelszavakhoz vagy kifejezésekhez.
A fertőzött gépek hálózatának kézben tartásához a támadók több mint 60 domain nevet és számos szerver hosting rendszert hoztak létre különböző országokban, a legtöbbet közülük Németországban és Oroszországban. Ahogy az a Kaspersky jelentéséből kiderül: a Rocra C&C (Command & Control) infrastruktúrájának elemzése kimutatta, hogy a szerverek láncolata ténylegesen proxyként működött, hogy elrejtse az „anyahajót”, vagyis a vezérlő szerver helyét.
Annak érdekében, hogy megfertőzzék a rendszert, a bűnözők célzott „spear-phising”, vagyis lándzsahalász e-mailt küldtek az áldozatnak, személyre szabott trójai „dropperrel”, önállóan szaporodni tudó vírussal. A rosszindulatú program telepítéséhez és a rendszer megfertőzéséhez a kártékony e-mail olyan exploitokat tartalmazott, amely a Microsoft Office és Microsoft Excel biztonsági réseit használta ki. Az adathalász üzenetben lévő exploitokat más támadók hozták létre és különböző számítógépes támadások alatt alkalmazták őket. A Rocra a beágyazható futtatható fájlban tér el ezektől, amit a támadók saját kódjukkal helyettesítettek.
A Kaspersky Lab szakértői két módszert alkalmaztak a célpontok elemzésére. Egyrészről a Kaspersky Security Network (KSN) felhőalapú biztonsági szolgáltatás felderítési statisztikáit vették alapul. A KSN már 2011-ben kimutatta a rosszindulatú programban használt exploit kódot, amely elindította a Rocrához kapcsolódó további megfigyelési folyamatot. A kutatók másik módszere egy úgynevezett „sinkhole” rendszer létrehozása volt, amellyel nyomon tudták követni azokat a fertőzött rendszereket, amelyek a Rocra C&C szervereihez kapcsolódtak. A két különböző módszerrel kapott adatok egymástól függetlenül megerősítették az eredményeket.
A KSN több száz egyedi fertőzött rendszert fedezett fel, a legtöbb nagykövetségeket, kormányzati hálózatokat és szervezeteket, tudományos kutatóintézeteket és konzulátusokat érintett. A KSN által gyűjtött adatok szerint a fertőzött rendszerek többsége Kelet-Európából származott, de azonosítottak incidenseket Észak-Amerikában és nyugat-európai országokban, Svájcban és Luxemburgban is.
A Kaspersky Lab sinkhole elemzése 2012. november 2-től 2013. január 10-ig tartott. Ez idő alatt 250 fertőzött IP címtől származó több mint 550000 kapcsolatot jegyeztek fel 39 országban. A legtöbb fertőzött IP kapcsolat Svájcból, Kazahsztánból és Görögországból érkezett.
A Vörös Október kiberkémkedési akció által érintett országok térképét itt vehetik közelebbről is szemügyre.
