红色十月行动是最近曝光的最复杂网络间谍平台,它有超过1000个独立模块,可以根据被感染电脑和目标用户定制模块配置。 它首先收集被感染机器的一般信息,包括浏览历史和储存的密码等,然后攻击者评估其价值决定安装下一步哪些模块,它有专门的模块可以窃取证书获取 Windows帐号哈希密码;提取Outlook和Thunderbird等邮件客户端储存的信息和数据;窃取连接的USB设备数据;记录按键;扫描本地 网络主机,感染其他计算机;从连接的智能手机中下载有价值的信息,例如联系人信息。
在红色十月行动被公开之后,卡巴斯基研究人员报告,恶意程序的命令和控制服务器正在关闭。他们推测,除了域名支持者和托管服务商采取行动之外,也可能是攻击者在终止整个行动。由于红色十月使用了多层代理伪装其核心功能,因此安全研究人员相信,只要风头过后,红色十月会以新的身份重新现身。
服务器上的各个独立模块(图片来自solidot)