«Лаборатория Касперского» рассказала о кибершпионской кампании «Красный октябрь»
«Лаборатория Касперского» опубликовала отчет об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатичными, правительственными и научными организациями в разных странах мира. Деяния злоумышленников были ориентированы на получение секретной инфы, данных, открывающих доступ к компьютерным системам, индивидуальным мобильным устройствам и корпоративным сетям, также сбор сведений геополитического нрава. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, также ряде стран в Центральной Азии.
Отмечается, что в октябре 2012 года специалисты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети интернациональных дипломатичных представительств. В процессе исследования этих инцидентов была найдена масштабная кибершпионская сеть. По итогам ее анализа специалисты сделали вывод, что операция под кодовым заглавием «Красный октябрь» началась еще в 2007 году и длится до сего времени.
Основной целью киберпреступников стали дипломатичные и правительственные структуры по всему миру. Посреди жертв также встречаются научно-исследовательские университеты, компании, специализирующиеся вопросами энергетики, в том числе ядерной, галлактические агентства, также торговые предприятия. Создатели «Красного октября» разработали собственное вредное ПО, имеющее уникальную модульную архитектуру, состоящую из вредных расширений и модулей, созданных для кражи инфы. В антивирусной базе «Лаборатории Касперского» данная вредная программка имеет заглавие Backdoor.Win32.Sputnik. Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные разных странах мира. При всем этом значимая их часть была размещена на местности Германии и Рф. Анализ инфраструктуры серверов управления показал, что злоумышленники использовали целую цепочку прокси-серверов, чтоб скрыть положение головного сервера управления.
Правонарушители похищали из зараженных систем информацию, содержащуюся в файлах разных форматов. Посреди иных специалисты нашли файлы с расширением acid*, говорящих об их принадлежности к программному обеспечению Acid Cryptofiler, которое употребляют ряд организаций, входящих в состав Евро Союза и НАТО. Для инфецирования систем правонарушители использовали фишинговые письма, адресованные определенным получателям в той либо другой организации. В состав письма заходила особая троянская программка, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были сделаны посторонними злодеями и ранее использовались в разных кибератаках.
Киберпреступники сделали мультифункциональную платформу для совершения атак, содержавшую несколько 10-ов расширений и вредных файлов, способных стремительно подстраиваться под различные системные конфигурации и собирать секретные данные с зараженных компов. К более приметным чертам модулей можно отнести:
• Модуль восстановления, позволяющий правонарушителям «воскрешать» зараженные машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредная программка была детектирована и удалена либо если вышло обновление системы.
• Улучшенные криптографические шпионские модули, созданные для кражи информацию, в том числе из разных криптографических систем, к примеру, из Acid Cryptofiler, которая употребляется с 2011 года для защиты инфы в таких организациях, как НАТО, Европейский Альянс, Европарламент и Еврокомиссия.
• Возможность инфицирования мобильных устройств: Кроме инфецирования обычных рабочих станций это вредное ПО способно воровать данные с мобильных устройств, а именно телефонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли воровать информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удаленные файлы с наружных USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредного ПО, дают все основания полагать наличие у киберпреступников русских корней. «Лаборатория Касперского» вместе с международными организациями, правоохранительными органами и государственными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техно экспертизу и ресурсы для информирования и проведения мероприятий по исцелению зараженных систем.