вторник, 15 января 2013 г.

"Лаборатория Касперского" вскрыла международную шпионскую сеть


"Лаборатория Касперского" обнаружила шпионскую сеть, организаторы которой следят за дипломатическими, правительственными и научными организациями в различных странах. Об этом говорится в сообщении компании.


Действия киберпреступников были направлены на получение конфиденциальной информации и данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также на сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012г. эксперты начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа эксперты пришли к выводу, что операция под кодовым названием "Красный октябрь" началась еще в 2007г. и продолжается до сих пор.

Как сообщили в "Лаборатории Касперского", основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели "Красного октября" разработали собственное вредоносное программное обеспечение (ПО), имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации.

Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящим об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое использует ряд организаций, входящих в состав Европейского союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств Азиатского региона.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.

"Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней", - считают эксперты.


Эксперты отмечают, что некоторые модули содержат "забавные" ошибки, указывающие на русскоязычных разработчиков вредоносной программы. В частности в скриптах использованы слова "PROGA" и "zakladka", которые, очевидно, являются транслитерацией русских слов. Для управления атаками использовалось более 60 доменных имен, прикрепленных к IP-адресам в Германии и России. Наибольшее число заражений приходится на Россию, страны бывшего СССР и азиатские страны - что кагбэ намекает нам на заказчиков.

1 комментарий:

  1. Обращаем внимание на ряд странных несоответствий, в первую очередь в том, что в новости приведено расширение acid, которое является расширение секретного программного обеспечения, используемого в НАТО, что направляет читателя на мысль, что сеть была направлена против стран НАТО. Более точно это утверждают подброшенные улики в роде слов «PROGA».

    В данном контексте используются специальные информационные штампы, подталкивающие читателя сделать определенный вывод об авторах вируса. Отметим, что это могло быть сделано непреднамеренно.

    Между тем, в данном конкретном случае, учитывая какие компьютерные сети были заражены в России и странах СНГ можно смело утверждать, что в первую очередь вирус направлен именно против российских/советских систем, при этом совершенно не исключается тот факт, что создателями вируса были привлечены русские программисты, как опытные специалисты, знающие инфраструктуру, где придется работать вирусу.

    Заражение ряда стран НАТО, и похищение файлов с расширение acid, можно считать попыткой скрыть истинного создателя вируса, ведь сложно обвинить в краже того, кого самого ограбили. В тоже время нельзя исключать той версии, что заокеанские друзья могли следить за своими союзниками.

    В тоже время стоит обратить внимание на то, что вирус совершенно не задел Британию.

    ОтветитьУдалить