"Лаборатория Касперского" опубликовала отчёт об исследовании
масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к
компьютерным системам, персональным мобильным устройствам и
корпоративным сетям, а также сбор сведений геополитического характера.
Основной акцент атакующие сделали на республиках бывшего СССР, странах
Восточной Европы, а также ряде государств в Центральной Азии.
В октябре 2012 года эксперты "Лаборатории Касперского"
начали расследование серии атак на компьютерные сети международных
дипломатических представительств. В процессе изучения этих инцидентов
специалисты обнаружили масштабную кибершпионскую сеть. По итогам её
анализа эксперты "Лаборатории Касперского" пришли к выводу,
что операция под кодовым названием "Красный октябрь"
началась еще в 2007 году и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и
правительственные структуры по всему миру. Однако среди жертв также
встречаются научно-исследовательские институты, компании, занимающиеся
вопросами энергетики, в том числе ядерной, космические агентства, а
также торговые предприятия. Создатели "Красного октября"
разработали собственное вредоносное ПО, имеющее уникальную модульную
архитектуру, состоящую из вредоносных расширений, модулей,
предназначенных для кражи информации. В антивирусной базе
"Лаборатории Касперского" данная вредоносная программа имеет
название Backdoor.Win32.Sputnik.
Для контроля сети заражённых машин киберпреступники использовали более
60 доменных имён и серверы, расположенные различных странах мира. При
этом значительная их часть была расположена на территории Германии и
России. Анализ инфраструктуры серверов управления, проведенный
экспертами "Лаборатории Касперского", показал, что
злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть
местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в
файлах различных форматов. Среди прочих эксперты обнаружили файлы с
расширением acid*, говорящих об их принадлежности к секретному
программному обеспечению Acid Cryptofiler, которое используют ряд
организаций, входящих в состав Европейского Союза и НАТО.
Для заражения систем преступники использовали фишинговые письма,
адресованные конкретным получателям в той или иной организации. В состав
письма входила специальная троянская программа, для установки которой
письма содержали эксплойты, использовавшие уязвимости в Microsoft
Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее
использовались в различных кибератаках, нацеленных как на тибетских
активистов, так и на военный и энергетический секторы ряда государств
азиатского региона.
Для определения жертв кибершпионажа эксперты "Лаборатории
Касперского", анализировали данные, полученные из двух основных
источников: облачного сервиса Kaspersky Security Network (KSN) и
sinkhole-серверов, предназначенных для наблюдения за инфицированными
машинами, выходящими на связь с командными серверами.
* Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных
компьютеров, большинство из которых принадлежали посольствам,
консульствам, государственным организациям и научно-исследовательским
институтам. Значительная часть зараженных систем была обнаружена в
странах Восточной Европы.
* Данные sinkhole-серверов были получены в
период со 2 ноября 2012 года по 10 января 2013. За это время было
зафиксировано более 55000 подключений с 250 заражённых IP-адресов,
зарегистрированных в 39 странах. Большинство соединений, установленных с
зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и
Греции.
Киберпреступники создали мультифункциональную платформу для совершения
атак, содержавшую несколько десятков расширений и вредоносных файлов,
способных быстро подстраиваться под разные системные конфигурации и
собирать конфиденциальные данные с заражённых компьютеров.
К наиболее примечательным характеристикам модулей можно отнести:
* Модуль восстановления, позволяющий преступникам
"воскрешать" заражённые машины. Модуль встраивается как
плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим
повторный доступ к системе в случае, если основная вредоносная программа
была детектирована и удалена или если произошло обновление системы.
* Усовершенствованные криптографические шпионские модули,
предназначенные для кражи информацию, в том числе из различных
криптографических систем, например, из Acid Cryptofiler, которая
используется с 2011 года для защиты информации в таких организациях, как
НАТО, Европейский Союз, Европарламент и Еврокомиссия.
* Возможность
инфицирования мобильных устройств: Помимо заражения традиционных рабочих
станций это вредоносное ПО способно красть данные с мобильных устройств,
в частности смартфонов (iPhone, Nokia и Windows Phone). Также
злоумышленники могли красть информацию о конфигурации с сетевого
промышленного оборудования (маршрутизаторы, коммутационные устройства) и
даже удалённые файлы с внешних USB-накопителей.
Регистрационные данные командных серверов и информация, содержащаяся в
исполняемых фалах вредоносного ПО, дают все основания предполагать
наличие у киберпреступников русскоязычных корней.
"Лаборатория Касперского" совместно с международными
организациями, правоохранительными органами и национальными Командами
реагирования на компьютерные инциденты (Computer Emergency Response
Teams, CERT) продолжает расследование операции, предоставляя техническую
экспертизу и ресурсы для информирования и проведения мероприятий по
лечению зараженных систем.