Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
16 января 2013, Источник: Лаборатория Касперского

Масштабная шпионская кибероперация "Красный октябрь"

«Лаборатория Касперского» опубликовала отчет об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира. При этом значительная их часть размещалась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящим об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое использует ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

Значительная часть зараженных систем была обнаружена в странах Восточной Европы. В период со 2 ноября 2012 года по 10 января 2013 было зафиксировано более 55 000 подключений с 250 зараженных IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

· Модуль восстановления, позволяющий преступникам «воскрешать» зараженные машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.

· Возможность инфицирования мобильных устройств: помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов. Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удаленные файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

Комментарии
37
alisafa.kasumov.2012@mail.ru
В ответ на комментарий от Тевзадзе Давид
Тевзадзе Давид
В этой лаборатории вирусы создают и потом от них же антивирус придумывают=)сами атаки начали, сами узнали, что кто-то их начал=)Пиар.
СсылкаПожаловаться
вообще-то так и надо делать чтобы предотвратить возможные атаки на ПК)) без этого никак
СсылкаПожаловаться
Aquila Project
"использования никогда ничего не пропускал" - не пропускал? Вы в этом уверены? Я писал вирусы, которые несколько лет ни один антивирь не видел. Да походу если щас просто ради прикола "заразить" комп, то наврядли его каспера или другой антивирь заметит. Расскажу как работает антивирус.
.
В одном большем зале сидят несколько людей. Им приходят сообщение о типо "вирусе", они открывают его и пытаются посмотреть, что да как, потом добавляют его в базу данных. Если вируса нет в базе данных, то антивирус его просто напросто не видит. А я думаю 60% всех вирусов в мире нет в БД. Ведь вирусы бывают разные. Например в германии есть вирус, который запустила полиция. Этот вирус будет находится у тебя в ПК и качать день и ночь твои данные и ты даже не будешь о нем подозревать. И не один антивирус тебе не поможет. А про червей я даже говорить не буду. Проверяешь антивиром комп, все отлично, проверяешь "специальной" прогой. У тебя от 5000-10000 червей в ПК и это стабильно. А каспера, чтобы продержатся, пишит походу свои вирусы, потом их через какое-то время добавляет в БД и делает вид, что типо заботится о пользователях. А майки.. не чем не лучше, специально дыры добавляют в винду, чтобы потом побочно денег заработать. Это известный и неоспоримый факт.
СсылкаПожаловаться
Alex
В ответ на комментарий от Aquila Project
Aquila Project
Только прочитал "Лабаратория Касперсого" сразу перестал читать. Только пролетел. Ну что тут скажешь. Лучше винду без антивируса иметь, чем ставить касперу. Он дольше прослужит. И не будет память жрать. Не верю я вообще этой лабаратории. Ни капли. Да и антивирусам в общем не доверяю. Лучше уж тогда NOD32 поставить. Он хоть не бесит.
СсылкаПожаловаться
Напрасно)) У меня пока за 3-4 года использования никогда ничего не пропускал. А вот без Антивируса - легко заразу подцепить, особенно гуляя по варезам и порносайтам, особенно если через IE (хотя давно уже им не пользуюсь)...
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от36 330руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone 7 32GB
от44 300руб.
Apple iPhone SE 64GB
от30 490руб.
Xiaomi Redmi 3S Pro 32GB
от9 031руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy S7 32GB
от32 500руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Apple iPhone 7 128GB
от51 489руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru