Виявлено масштабну міжнародну кібершпіонську мережу

4
15 січня 2013

Про це йдеться у повідомленні "Лабораторії Касперського", яка опублікувала результати дослідження серії атак на комп'ютерні мережі міжнародних дипломатичних представництв.

У процесі вивчення цих інцидентів фахівці виявили масштабну кібершпіонську мережу. За підсумками її аналізу експерти компанії прийшли до висновку, що операція під кодовою назвою "Червоний жовтень" почалася ще в 2007 році і продовжується до цих пір.

Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу.

Однак серед жертв також зустрічаються науково-дослідні інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства.

Творці "Червоного жовтня" розробили власне шкідливе ПЗ, яке має унікальну модульну архітектуру, що складається з шкідливих розширень, модулів, призначених для крадіжки інформації.

Для контролю мережі заражених машин кіберзлочинці використовували більше 60 доменних імен та сервери, розташовані в різних країнах світу. При цьому значна їх частина знаходилася на території Німеччини і Росії.

Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid *, що говорять про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, яке використовують ряд організацій, що входять до складу Європейського Союзу і НАТО.

Для зараження систем злочинці розсилали фішингові листи, адресовані конкретним одержувачам в тій чи іншій організації.

Для визначення жертв кібершпіонажу експерти аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв'язок з командними серверами.

Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп'ютерів, більшість з яких належали посольствам, консульствам, державним організаціям та науково-дослідним інститутам. Значна частина заражених систем була виявлена ​​в країнах Східної Європи.

Дані sinkhole-серверів були отримані в період з 2 листопада 2012 року по 10 січня 2013. За цей час було зафіксовано понад 55 000 підключень з 250 заражених IP-адрес, зареєстрованих у 39 країнах.

До найбільш примітних характеристик компонентів шкідливої ​​програми можна віднести:

Вдосконалені криптографічні шпигунські модулі, призначені для крадіжки інформації, в тому числі з різних криптографічних систем, наприклад, з Acid Cryptofiler, яка використовується з 2011 року для захисту інформації в таких організаціях, як НАТО, Європейський Союз, Європарламент та Єврокомісія.

Можливість інфікування мобільних пристроїв: Крім зараження традиційних робочих станцій це шкідливе ПЗ здатне красти дані з мобільних пристроїв, зокрема смартфонів (iPhone, Nokia і Windows Phone).

Також зловмисники могли красти інформацію про конфігурації з мережевого промислового устаткування (маршрутизатори, комутаційні пристрої) і навіть видалені файли з зовнішніх USB-накопичувачів.

"Лабораторія Касперського" спільно з міжнародними організаціями, правоохоронними органами та національними Командами реагування на комп'ютерні інциденти (Computer Emergency Response Teams, CERT) продовжує розслідування операції, надаючи технічну експертизу та ресурси для інформування та проведення заходів з лікування заражених систем.

powered by lun.ua