ロシアKaspersky Labは現地時間2013年1月14日、高度で大規模なサイバースパイ活動「Operation Red October」が行われていたことを確認したと発表した。複数の国の政府や外交当局、科学研究機関などを狙って、活動が繰り広げられているという。
Kaspersky Labは、さまざまな外交当局に対するコンピュータネットワーク攻撃が複数発生したことを受け、2012年10月に調査を開始した。同社が突きとめたRed October活動は、2007年5月から5年以上にわたって活発に行われていたと見られ、2013年1月現在も続いているという。
Kaspersky Labによると、主に狙われているのは東欧諸国、旧ソ連圏諸国、中央アジア諸国だが、西欧や北米も攻撃を受けている。攻撃者は、機密情報取得を狙って標的のシステムに侵入。盗み出した情報は後日攻撃に再利用する。
最初にシステムに侵入する手段として、特定の相手を狙うスピア型フィッシングメールを用いる。フィッシングメールに含まれる攻撃コードでMicrosoft WordおよびExcelに存在する脆弱性を突き、マルウエアをインストールする。パソコンだけでなく、各種プラットフォームのモバイル端末に対しても攻撃を実行できるという。
Red October活動に使用されているマルウエアは、情報窃盗やバックドアなどさまざまな機能を組み合わせたモジュラー型の「Rocra」。Kaspersky Labは、ロシア語圏の何者かがRocraを作成し、攻撃コードは中国人ハッカーが作ったものと見ている。
なおKaspersky Labは、現時点でRed October活動が国家の関与による攻撃であることを示す証拠はないとしている。
