«Лаборатория Касперского» рассказала о «Красном октябре»

Опубликовано: 17 января 2013 г., четверг

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Злоумышленники использовали целую цепочку прокси–серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Евросоюза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole–серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
* Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно–исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
* Данные sinkhole–серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP–адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP–адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

Источник: kaspersky.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

Выпущен концептуальный браузер Opera Neon для Mac и Windows

Opera Neon воплощает идеи о том, каким должен стать браузер для компьютеров. дальше »

Google запустил русскоязычный блог для вебмастеров

Корпорация Google сообщила о запуске официальной русскоязычной версии блога для вебмастеров. Как ожидается, за его информационное наполнение будут отвечать специалисты по улучшению качества работы российской версии поисковой системы Google. дальше »

В YouTube в тестовом режиме заработал раздел "Срочные новости"

Видеохостинг YouTube начал демонстрировать в тестовом режиме специальный раздел "Срочные новости", который пока доступен для части пользователей, имеющих зарегистрированный аккаунт в Google. дальше »

Служба здравоохранения Шотландии подверглась новой кибератаке

Отделения национальной службы здравоохранения (NHS) в Шотландии пострадали от кибератаки всего через несколько месяцев после массового нарушения системы информационной безопасности. дальше »

Google платит Apple миллиарды за то, чтобы ее поисковик был выбором по умолчанию

Так как смартфоны iPhone и планшеты iPad - самые популярные мобильные гаджеты, использование на них программ по умолчанию гарантирует их всеобщее признание. дальше »

Google купила белорусский стартап AlMatter

Стартап AlMatter, разработанный белорусами, присоединился к Google, сообщил основатель проекта Юрий Мельничек. дальше »

Браузер Samsung стал доступен на всех новых Android-смартфонах

Компания Samsung сообщила о выпуске новой версии её собственного браузера Samsung Internet, который можно использовать на любом новом Android-смартфоне. дальше »

Коста-Рика вводит налог для поставщиков ОТТ

На волне обсуждения введения налогов для фирм, предлагающих OTT в Латинской Америке, Коста-Рика объявила о намерении ввести 15-процентный налог на сервисы "видео по запросу" (VOD) и сервисы онлайн-видео. дальше »

Обнаружен механизм утечки данных через USB-порты

Исследователи Школы компьютерных исследований Университета Аделаиды (Австралия) выяснили, что специально модифицированные USB-устройства могут применяться для похищения конфиденциальных данных с компьютеров. дальше »

"Скрытые шпионы" пробрались в Google Play Store

Исследователи компании Lookout обнаружили в Google Play Store приложение Soniac, которое, маскируясь под мессенджер, является в действительности сложным шпионским ПО. дальше »