Масштабна шпигунська кібероперацій “Червоний жовтень”

«Лабораторія Касперського» опублікувала звіт про дослідження масштабної кампанії, що проводиться кіберзлочинцями з метою шпигунства за дипломатичними, урядовими та науковими організаціями в різних країнах світу. Дії зловмисників були направлені на отримання конфіденційної інформації, даних, що відкривають доступ до комп’ютерних систем, персональним мобільним пристроям і корпоративних мереж, а також збір відомостей геополітичного характеру. Основний акцент атакуючі зробили на республіках колишнього СРСР, країнах Східної Європи, а також низці держав в Центральній Азії.

У жовтні 2012 року експерти «Лабораторії Касперського» почали розслідування серії атак на комп’ютерні мережі міжнародних дипломатичних представництв. У процесі вивчення цих інцидентів фахівці виявили масштабну кібершпіонскую мережу. За підсумками її аналізу експерти «Лабораторії Касперського» дійшли висновку, що операція під кодовою назвою «Червоний жовтень» почалася ще в 2007 році і продовжується до цих пір.

Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу. Однак серед жертв також зустрічаються науково-дослідні інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства.

Творці «Червоного Жовтня» розробили власне шкідливе ПЗ, яке має унікальну модульну архітектуру, що складається з шкідливих розширень, модулів, призначених для крадіжки інформації. У антивірусній базі «Лабораторії Касперського» дана шкідлива програма має назву Backdoor.Win32.Sputnik.

Для контролю мережі заражених машин кіберзлочинці використовували більше 60 доменних імен і сервери, розташовані в різних країнах світу. При цьому значна їх частина розміщувалася на території Німеччини та Росії. Аналіз інфраструктури серверів управління, проведений експертами «Лабораторії Касперського», показав, що зловмисники використовували цілий ланцюжок проксі-серверів, щоб приховати місце розташування головного сервера управління.

Злочинці викрадали з заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid *, мовцем про їх приналежність до секретного програмному забезпеченню Acid Cryptofiler, яке використовує ряд організацій, що входять до складу Європейського Союзу і НАТО.

Для зараження систем злочинці використовували фішингові листи, адресовані конкретним одержувачам в тій чи іншій організації. До складу листи входила спеціальна троянська програма, для встановлення якої листи містили експлойти, що використали уразливості в Microsoft Office. Ці експлойти були створені сторонніми зловмисниками і раніше використовувалися в різних кібератаки, націлених як на тибетських активістів, так і на військовий і енергетичний сектори ряду держав азіатського регіону.

Для визначення жертв кібершпіонажу експерти «Лабораторії Касперського», аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв’язок з командними серверами.

Значна частина заражених систем була виявлена в країнах Східної Європи. У період з 2 листопада 2012 року з 10 січня 2013 було зафіксовано більш ніж 55 000 підключень з 250 заражених IP-адрес, зареєстрованих у 39 країнах. Більшість сполук, встановлених з заражених IP-адрес, були зафіксовані в Швейцарії, Казахстані та Греції.

Кіберзлочинці створили мультифункціональну платформу для здійснення атак, містила кілька десятків розширень і шкідливих файлів, здатних швидко підлаштовуватися під різні системні конфігурації і збирати конфіденційні дані із заражених комп’ютерів.

До найбільш примітним характеристикам модулів можна віднести:

· Модуль відновлення, що дозволяє злочинцям «воскрешати» заражені машини. Модуль вбудовується як плагін в Adobe Reader і Microsoft Office і забезпечує атакуючим повторний доступ до системи у випадку, якщо основна шкідлива програма була детектувати і видалено або якщо відбулося оновлення системи.

· Можливість інфікування мобільних пристроїв: крім зараження традиційних робочих станцій це шкідливе ПЗ здатне красти дані з мобільних пристроїв, зокрема смартфонів. Також зловмисники могли красти інформацію про конфігурації з мережевого промислового обладнання (маршрутизатори, комутаційні пристрої) і навіть вилучені файли з зовнішніх USB-накопичувачів.

Реєстраційні дані командних серверів і інформація, що міститься у виконуваних файлах шкідливого ПЗ, дають всі підстави припускати наявність у кіберзлочинців російськомовних коренів.

It is main inner container footer text