«Лаборатория Касперского» рассказала о «Красном октябре»

ПредыдущаяСледующая
Kaspersky Lab Logo

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

  • Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
  • Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:

  • Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
  • Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
  • Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

16 января 2013 Г.

09:45

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Переводить Ирландии 13 млрд евро компания Apple будет с марта по сентябрь текущего года: Apple будет переводить Ирландии деньги до сентября 6

В Австралии двое утопающих были спасены посредством дрона: Дроны в Австралии помогут спасать людей7

В прошлом году в мире на мобильные приложения было потрачено 86 млрд долларов: Среднестатистический пользователь проводит в мобильных приложениях 43 дня в году6

Moto Folio — самый доступный модуль для смартфонов Moto Z: Модуль Moto Folio является чехлом-книжкой4

Iiyama XB2779QQS — 27-дюймовый монитор 5K стоимостью 800 евро: Монитор Iiyama XB2779QQS получил 27-дюймовую панель 5K16

Samsung и LG договорились о поставке гораздо большего количества телевизионных ЖК-панелей: LG поставит Samsung 1 млн телевизионных панелей 13

Частота процессора AMD Ryzen 5 2600 будет на 200 МГц выше, чем у Ryzen 5 1600: CPU Ryzen 5 2600 получит небольшую прибавку к частотам 33

Рынок технологий умных городов будет расти на 11% в год: К 2026 году рынок технологий умных городов достигнет 62 млрд долларов2

Появилось первое изображение смартфона Xiaomi Mi 7: Xiaomi Mi 7 засветился на первом изображении4

Apple позволит пользователям отключить функцию замедления смартфонов iPhone: Функцию замедления iPhone можно будет отключить 128

Команда Apple, которая занимается созданием оригинального видеоконтента, обосновалась в новом офисе в Калвер-Сити: Apple арендует новое здание в Калвер-Сити9

Процессор Core i7-8705G сравнили с GeForce MX150 в современной игре: Core i7-8705G существенно быстрее GeForce MX150 в играх54

Samsung начала массовое производство микросхем GDDR6 плотностью 16 Гбит: Что немаловажно, память GDDR6 потребляет на 35% меньше энергии, так как ее рабочее напряжение составляет 1,35 В против 1,55 В у GDDR562

Внешний аккумулятор Dodocool емкостью 20100 мА•ч может полностью зарядить MacBook: Компания Dodocool представила внешний аккумулятор емкостью 20100 мА•ч с выходной мощностью 45 Вт13

Смартфон Xiaomi Mi Mix 2s могут представить на MWC 2018: Xiaomi уже подтвердила, что она проведет свою пресс-конференцию 26 февраля2

Первая партия смартфонов Meizu M6s получит логотип mBlu: В продажу новинка поступит 19 января по цене от 155 долларов1

Полноэкранный смартфон AllCall Mix 2 получил Helio P23 и 6 ГБ ОЗУ: Даты начала продаж у смартфона пока нет17

Поставщики комплектующих для iPhone ожидают снижение уровня заказов в первом квартале 2018: Некоторые поставщики планируют временно остановить производство в феврале этого года, отправив сотрудников на недельные каникулы29

Поставки игровых ноутбуков в этом году увеличатся не более, чем на 10%: В Юго-Восточной Азии, Европе и Азиатско-Тихоокеанском регионе Asustek и MSI по объему поставок являются лучшими производителями игровых ноутбуков

Sony представит новые смартфоны 26 февраля 2018: В этом году выставка Mobile World Congress 2018 пройдет в Барселоне с 26 февраля по 1 марта26

Складной смартфон ZTE Axon M выпустят в Европе в первом квартале 2018: Более интересной для наших читателей станет информация о том, что устройство также будет выпущено на территории Европы3

Apple вложит в экономику США 350 млрд долларов в последующие пять лет: Apple рассказала, как будет инвестировать в экономику США 35

Samsung представила однокристальную систему Exynos 7872: SoC Exynos 7872 всё-таки содержит GPU Mali-G71 MP115

Смартфон Samsung Galaxy On7 Prime (2018) не получил экрана AMOLED, но может предложить неплохие параметры: Смартфон Samsung Galaxy On7 Prime (2018) оценили в 200 долларов3

194
-

iXBT TV

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

  • Apple специально замедляет старые iPhone, VR-революция, крошечный телефон

  • Обзор широкоугольного объектива Canon EF 35 mm F1.4L II USM

  • Обзор робота-пылесоса Kitfort KT-516 со сменными уборочными блоками

  • iMac Pro за $13 000, космический туризм, клавиатурные шпионы от HP

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

-