Новости

15 января 2013 г

«Лаборатория Касперского» рассказала о «Красном октябре»

«Лаборатория Касперского» опубликовала отчет об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации и данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также на сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, на странах Восточной Европы, а также на ряде государств в Центральной Азии.

В октябре 2012 г. эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа эксперты из «Лаборатории Касперского» пришли к следующему выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 г. и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля за сетью, состоящей из зараженных машин, киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов по управлению, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler fr.wikipedia.org/wiki/Acid_Cryptofiler, которое используют ряд организаций, входящих в состав Европейского союза и НАТО.

Для заражения систем преступники пользовались фишинговыми письмами, адресованными конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались при различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств Евро-Азиатского региона.

Для определения жертв кибершпионажа эксперты из «Лаборатории Касперского» анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.

Данные sinkhole-серверов были получены в период с 2 ноября 2012-го по 10 января 2013 г. За это время было зафиксировано более 55 тыс. подключений с 250 зараженных IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

1) Модуль восстановления, позволяющий преступникам «воскрешать» зараженные машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.

2) Усовершенствованные криптографические шпионские модули, предназначенные для кражи информации, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 г. для защиты информации в таких организациях, как НАТО, Европейский союз, Европарламент и Еврокомиссия.

3) Возможность инфицирования мобильных устройств. Помимо заражения традиционных рабочих станций, это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удаленные файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследовать операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

Более подробная информация доступна на сайте: securelist.com/ru/analysis.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

18 октября 2013 г

 • Fujifilm XQ1: компактная камера Х-серии
 • Обновление Kaspersky Security для SharePoint Server
 • Fujifilm X-E2: эволюция легендарной X-E1
 • UserGate Web Filter с глубоким анализом контента

17 октября 2013 г

 • Обрано оператора домену .УКР
 • Android-троянец скрывается от антивирусов, используя очередную уязвимость
 • Розетка, которая всегда под рукой
 • "Яндекс" выяснил, что украинцы ищут о свадьбе
 • Седьмая версия продуктов ESET NOD32 Antivirus и ESET Smart Security
 • МТС снижает стоимость мобильного Интернета в роуминге
 • Ультратонкий внешний накопитель ADATA Dash Drive Elite SE720
 • Объективы Sony с байонетом E для полнокадровой матрицы

16 октября 2013 г

 • Philips открывает путь к хирургии для Google Glass
 • Нові зміни в складі членів ІнАУ
 • Киевстар приглашает студентов на стажировку
 • «Лаборатория Касперского» совершенствует защиту для мобильных устройств
 • Autodesk приобретает технологии Graitec по проектированию конструкций

15 октября 2013 г

 • Mio Technology заключила договор с компанией «Навигатор»
 • Horizon – платформа браузерных расширений для операторов мобильной связи
 • В Харькове открылся крупнейший датацентр в Восточной Украине «Onehostpower»