«Лаборатория Касперского» рассказала о «Красном октябре»

Опубликовано: 17 января 2013 г., четверг

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Злоумышленники использовали целую цепочку прокси–серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Евросоюза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole–серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
* Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно–исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
* Данные sinkhole–серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP–адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP–адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

Источник: kaspersky.ru
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

Elisa приобрела компанию Santa Monica Networks

20 марта 2017 года Elisa заключила сделку с компанией Santa Monica Networks, которая специализируется на защищенных сетевых решениях и центрах обработки данных. дальше »

В новой Apple TV установят мощный микрофон и динамик для Siri

Голосовой ассистент будет слушать вас всегда. На сайте VentureBeat появилась любопытная информация о следующем поколении телеприставки Apple. дальше »

Toshiba выпустила комплект для разработки носимых устройств интернета вещей

Новый комплект Toshiba состоит из комплектующих и программного обеспечения, необходимых для создания носимых устройств (IoT), обрабатывающих сигналы от нескольких датчиков. дальше »

Сделка по продаже балтийских телеканалов диктуется бизнес-интересами

Гунта Лидака: Решение шведского медиаконцерна MTG продать свой бизнес вещающих организаций американской инвестиционной компании частного капитала Providence Equity Partners не является уникальной сделкой на рынке и соответствует всем мировым тенденциям. дальше »

ESET: говорящий вымогатель Jisut предпочитает юани

Эксперты компании ESET исследовали новую версию вымогателя Jisut для Android-смартфонов и планшетов. Вредоносная программа воспроизводит голосовые сообщения — поздравляет жертву приятным женским голосом. дальше »

Четверых россиян обвинили во взломе Yahoo

Власти США выдвинули обвинения против четверых россиян, стоящих, по мнению американского правосудия, за взломом компании Yahoo!. дальше »

В ЮНЕСКО призывают обеспечить женщинам равный доступ в Интернет

Мужчины пользуются более широким доступом к Интернету, чем женщины. Глобальный «цифровой разрыв» между полами в 2016 году составил 12 процентов – на 1 процент больше, чем в 2013 году. дальше »

Приложение - перископ Photoscope uCiC: увидеть что-то в любой точке планеты

Приложение Photoscope uCiC предоставляет возможность задать вопрос человеку в любой точке мира и получить от него ответ в виде фотографии или видео. дальше »

Северный регион возглавляет европейский рынок SVOD с долей в 20%

Dataxis: Регион, включающий Данию, Финляндию, Норвегию, Швецию, имеет явное преимущество, когда речь заходит о доставке подписных сервисов "видео по запросу" (SVOD). дальше »

Мессенджер Viber будет дополнен самоуничтожающимися секретными чатами

Разработчики Viber планируют в ближайшее время оснастить мессенджер секретными чатами, которые станут расширением недавно запущенных компанией секретных сообщений. дальше »