«Лаборатория Касперского» рассказала о «Красном октябре»

1174
Kaspersky Lab Logo

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

  • Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
  • Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:

  • Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
  • Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
  • Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

16 января 2013 Г.

09:45

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Чистый доход TSMC в третьем квартале 2017 года составил почти 3 млрд долларов: TSMC ожидает в этом квартале рост дохода на 10%9

Ассортимент G.Skill пополнили наборы модулей памяти SO-DIMM DDR4-3800 суммарным объемом 32 ГБ: В продаже новые наборы должны появиться в начале декабря

Набор из 110 переключателей Cherry MX стоит 40 евро: Набор адресован разработчикам и энтузиастам-самодельщикам3

У EK Water Blocks готов водоблок для системных плат Asus с процессорным гнездом AMD TR4: EK-FB ASUS ROG ZE RGB Monoblock можно использовать даже с помпами небольшой мощности1

Мышь Spire Archer 12 имеет эргономичную «вертикальную» форму: Продажи мыши Spire Archer 12 начнутся в ноябре по цене $552

Комбинированный блок EK Water Blocks EK-XRES Revo и резервуары EK-RES X3 150 RGB и EK-RES X3 250 RGB украшены подсветкой: Емкость резервуаров EK-RES X3 150 RGB и EK-RES X3 250 RGB составляет около 240 и 440 мл соответственно

Подсветку жидкостных систем охлаждения Cooler Master ML120L RGB и ML240L RGB можно синхронизировать с подсветкой системной платы: Системы охлаждения Cooler Master ML120L RGB и ML240L RGB подходят для всех современных процессоров

По данным TrendForce, цены на литий-ионные аккумуляторы продолжают медленно расти: Поставки литий-полимерных аккумуляторов все так же ограничены30

Внешний накопитель Pholio — оффлайновая альтернатива Google Photos: Встроенное ПО Pholio работает по принципам искусственного интеллекта8

Ноутбук Gigabyte Aorus X9 с двумя видеокартами GeForce GTX 1070 оказался существенно дешевле, чем нам обещали: Gigabyte Aorus X9 весит всего 3,5 кг7

Стали известны сроки начала продаж и цены объективов Olympus M.Zuiko Digital 17mm F1.2 Pro и 45mm F1.2 Pro в Европе: Объективы Olympus 45mm F1.2 Pro можно будет купить довольно скоро, M.Zuiko Digital 17mm F1.2 Pro придется подождать17

Выручка Ericsson падает, а убытки растут: Ericsson отчиталась за третий квартал 2017 года5

Доля iOS 11 снизилась впервые с момента выхода финальной версии ОС: iOS 11 установлена более чем на половину совместимых устройств спустя месяц после выхода49

В минувшем квартале через PayPal было переведено более 114 млрд долларов: Доход PayPal в третьем квартале 2017 года достиг 3,239 млрд долларов4

По оценке KGI, 3 ноября в магазинах окажется от 2 до 3 млн iPhone X: Минг-Чи Куо снизил прогноз по поставкам iPhone X в четвертом квартале с 30-35 млн до 25-30 млн единиц12

Система охлаждения Inno3D Jet-Fan предназначена для 3D-карт серии GeForce GTX 10XX : В Inno3D Jet-Fan входит пластина, закрепляемая на тыльной стороне печатной платы2

KFA2 готовит к выпуску свой вариант GeForce GTX 1070 Ti: В сети уже появились изображения 3D-карты KFA2 GTX 1070 Ti EX7

Опубликованы изображения смартфона OnePlus 5T : OnePlus 5T внешне кажется абсолютно новым смартфоном5

Samsung намекает, что дополнительный налог на ее стиральные машинки негативно отразится на новом американском заводе компании: Samsung заявила, что подобные ограничения могут снизить количество запланированных новых рабочих мест28

Зарядку электрических мотоциклов Zero удалось ускорить в шесть раз: Модели Zero S и DS ZF7.2 «заправляются» всего за час17

Потребительские процессоры Intel Cannon Lake будут поддерживать набор команд AVX-512: CPU Intel Cannon Lake и Ice Lake получат поддержку AVX-51211

Введена в строй крупнейшая ветряная электростанция Amazon: Электростанция насчитывает более 100 турбин61

Гарнитура смешанной реальности Samsung HMD Odyssey не выйдет на рынок Европы: В США Samsung HMD Odyssey в комплекте с двумя контроллерами будет предлагаться по цене 499 долларов2

Игровой монитор Benq Zowie XL2536 поддерживает технологию DyAc: В мониторе Benq Zowie XL2536 используется жидкокристаллическая панель разрешением Full HD1

Испытания блогера JerryRigEverything показали, что смартфон Google Pixel 2 имеет ряд особенностей: Смартфон Google Pixel 2 лучше не гнуть4

LG Innotek вошла в состав международной ассоциации CharIN: LG Innotek начала производство комплектующих для автомобильного рынка еще в 2005 году1

Xiaomi предлагает умный дверной замок за $256: Дактилоскопический датчик распознает отпечатки пальцев людей в возрасте от 7 до 70 лет с вероятностью ошибки 0,0005%33

Мини-ПК MSI Cubi 3 Silent будут оснащены пассивной системой охлаждения и CPU Intel Kaby Lake: MSI готовит мини-ПК Cubi 3 Silent4

Владельцы Samsung Galaxy S8 и Note8 смогут работать с Linux: В настоящий момент Linux on Galaxy проходит стадию тестирования55

Шасси Streacom BC1 Mini предназначено для малогабаритных систем : Шасси из алюминия весит 805 г5

Система для самоуправляемых автомобилей, создаваемая Apple, представляет собой отдельный блок: Блок, создаваемый в рамках проекта Project Titan, размещается на крыше машины6

Безрамочный смартфон HomTom S9 Plus будет доступен за $160: Смартфон поддерживает режим HDR, панорамную съемку и портретный режим с размытием фона3

В Южной Корее создана первая в мире система для липосакции, в которой хирургу помогает искусственный интеллект: Система M.A.I.L создана в сотрудничестве с Microsoft 1

Представлен планшет Chuwi SurBook Mini: Устройство может работать под управлением операционных систем Windows 10 и Ubuntu

General Motors первой начнёт испытания беспилотных машин в Нью-Йорке: В следующем году на улицах Нью-Йорка появятся прототипы беспилотных машин1

Портативные акустические системы Ultimate Ears Blast и Megablast не боятся воды и поддерживают Amazon Alexa: Ultimate Ears Blast и Megablast оцениваются в 230 и 300 долларов соответственно 3

997
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-A3 формата APS-C со сменными объективами

  • Обзор беззеркальной фотокамеры Fujifilm X-A10 формата APS-C со сменными объективами

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

1212

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать