Виявлено масштабну міжнародну кібершпіонську мережу
Про це йдеться у повідомленні "Лабораторії Касперського", яка опублікувала результати дослідження серії атак на комп'ютерні мережі міжнародних дипломатичних представництв.
У процесі вивчення цих інцидентів фахівці виявили масштабну кібершпіонську мережу. За підсумками її аналізу експерти компанії прийшли до висновку, що операція під кодовою назвою "Червоний жовтень" почалася ще в 2007 році і продовжується до цих пір.
Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу.
Однак серед жертв також зустрічаються науково-дослідні інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства.
Творці "Червоного жовтня" розробили власне шкідливе ПЗ, яке має унікальну модульну архітектуру, що складається з шкідливих розширень, модулів, призначених для крадіжки інформації.
Для контролю мережі заражених машин кіберзлочинці використовували більше 60 доменних імен та сервери, розташовані в різних країнах світу. При цьому значна їх частина знаходилася на території Німеччини і Росії.
Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid *, що говорять про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, яке використовують ряд організацій, що входять до складу Європейського Союзу і НАТО.
Для зараження систем злочинці розсилали фішингові листи, адресовані конкретним одержувачам в тій чи іншій організації.
Для визначення жертв кібершпіонажу експерти аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв'язок з командними серверами.
Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп'ютерів, більшість з яких належали посольствам, консульствам, державним організаціям та науково-дослідним інститутам. Значна частина заражених систем була виявлена в країнах Східної Європи.
Дані sinkhole-серверів були отримані в період з 2 листопада 2012 року по 10 січня 2013. За цей час було зафіксовано понад 55 000 підключень з 250 заражених IP-адрес, зареєстрованих у 39 країнах.
До найбільш примітних характеристик компонентів шкідливої програми можна віднести:
Вдосконалені криптографічні шпигунські модулі, призначені для крадіжки інформації, в тому числі з різних криптографічних систем, наприклад, з Acid Cryptofiler, яка використовується з 2011 року для захисту інформації в таких організаціях, як НАТО, Європейський Союз, Європарламент та Єврокомісія.
Можливість інфікування мобільних пристроїв: Крім зараження традиційних робочих станцій це шкідливе ПЗ здатне красти дані з мобільних пристроїв, зокрема смартфонів (iPhone, Nokia і Windows Phone).
Також зловмисники могли красти інформацію про конфігурації з мережевого промислового устаткування (маршрутизатори, комутаційні пристрої) і навіть видалені файли з зовнішніх USB-накопичувачів.
"Лабораторія Касперського" спільно з міжнародними організаціями, правоохоронними органами та національними Командами реагування на комп'ютерні інциденти (Computer Emergency Response Teams, CERT) продовжує розслідування операції, надаючи технічну експертизу та ресурси для інформування та проведення заходів з лікування заражених систем.