"Красный Октябрь": "Лаборатория Касперского" обнаружила кибершпионскую сеть
14 января 2013 г.
Эксперты в области компьютерной безопасности вскрыли масштабную шпионскую сеть, в течение нескольких лет воровавшую через интернет информацию с сотен компьютеров дипломатических представительств, госучреждений и исследовательских институтов по всему миру. Об этом говорится в отчете исследовательского центра "Лаборатории Касперского", первая часть которого опубликована на сайте организации Securelist.com в понедельник, 14 января.
"Кибершпионская сеть, получившая кодовое имя "Красный октябрь", была обнаружена в октябре прошлого года, - сообщил dpa Магнус Калькул (Magnus Kalkuhl), заместитель директора Центра глобальных исследований и анализа угроз "Лаборатории Касперского". - Мы полагаем, что свою деятельность она начала еще в 2007 году".
Киберпреступники стремились прежде всего получить доступ к компьютерам дипломатических служб и правительственных структур. Зараженные вредоносным кодом компьютеры также были выявлены в научных институтах, коммерческих структурах и компаниях, связанных с созданием вооружений. Всего было выявлено около 300 взломанных компьютеров. В антивирусной базе компании вирус классифицируется как Backdoor.Win32.Sputnik.
Германия - часть инфраструктуры
Для контроля за зараженными машинами преступники использовали более 60 доменных имен и серверов. Значительная их часть находилась на территории Германии и России. Специалистам "Лаборатории Касперского" пока не удалось обнаружить местоположение основного сервера сети, на который направлялась вся полученная информация. Но данные, полученные ими в ходе исследования, указывают на то, что вредоносные модули были созданы русскоязычными специалистами.
Согласно статистике, опубликованной в отчете, Россия чаще всего становилась целью кибератак. На втором и третьем месте - Казахстан и Азербайджан соответственно. В основном зараженные компьютеры находились в странах бывшего СССР, но вредоносное ПО было выявлено также в странах Европы, Ближнего и Среднего Востока.
Киберпреступники охотились за секретной информацией
Шпионская сеть была нацелена, среди прочего, на похищение документов с расширениями "acid*". Они принадлежат секретному программному обеспечению для шифрования "Acid Cryptofiler", которое используется в структурах Евросоюза и НАТО.
Для внедрения в систему преступники рассылали письма конкретным получателям в разных структурах. В их состав входила специальная троянская программа, которая использовала для своей установки уязвимые места в Microsoft Office.
Вирус позволял преступникам похищать данные и с мобильных устройств. Кроме того, он был способен на самовосстановление после удаления основной вредоносной программы. Модуль "воскрешения" встраивался в качестве плагина в Adobe Reader и Microsoft Office.
Самые последние файлы вредоносного ПО датируются 8 января 2013 года. Расследование по делу кибершпионской сети продолжается совместно с правоохранительными органами, международными организациями и национальными службами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT). В частности, "Лаборатория Касперского" выразила благодарность за помощь в расследовании CERT Беларуси, Румынии и США.