Разделы

Безопасность Новости поставщиков Пользователю Техническая защита Цифровизация ИТ в госсекторе

«Касперский» вскрыл шпионскую сеть, ворующую данные у госструктур по всему миру

«Лаборатория Касперского» обнаружила уникальное ПО, с помощью которого кибершпионы воровали данные с сотен компьютеров государственных организаций по всему миру на протяжении нескольких лет. В компании полагают, что у его создателей русскоязычные корни.

«Лаборатория Касперского» сообщила о выявлении масштабной кибершпионской операции по атакам компьютерных сетей и краже данных из дипломатических и правительственных структур по всему миру. По информации компании, среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия.

Операция, которую в «Касперском» окрестили кодовым названием «Красный Октябрь», началась в 2007 г. и продолжается по настоящее время. Как рассказали CNews в компании, Россия – на первом месте среди всех стран, которые подвергались атакам в рамках данной операции. Из каких именно структур утекали данные, в «Касперском» предпочли не раскрывать, пока не завершено расследование.

Помимо России, наиболее часто данные крались с компьютеров в организациях ряда республик бывшего СССР, в Бельгии, Индии, Иране, Афганистане, рассказали CNews в «Касперском». По словам ведущего антивирусного эксперта «Касперского» Виталия Камлюка, в списке «жертв» также числятся организации в США, Италии, Морокко и Швейцарии.

Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации, говорят в «Касперском». В антивирусной базе компании это вредоносное ПО классифицируется как Backdoor.Win32.Sputnik. «Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней», - говорят в «Касперском».

Среди наиболее примечательных характеристик использующегося киберпреступниками ПО, в «Касперском» отмечают наличие в нем модуля, позволяющего «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы. Кроме того, оно позволяет красть данные и с мобильных устройств.


В «Касперском» отмечают, что столкнулись одной из наиболее масштабных сетей кибершпионажа, которые встречали ранее

Для заражения систем в организациях преступники использовали фишинговые письма, адресованные конкретным сотрудникам той или иной организации. В состав письма входил специальный троян, для установки которого письма содержали эксплойты, использовавшие уязвимости в Microsoft Office, поясняют в «Касперском».

Сергей Трандин, «Базальт СПО»: Выбор заказчиками ОС со сертификатом ФСТЭК — тенденция, которая будет развиваться и дальше
Маркет

Виталий Камлюк говорит, что чаще всего с компьютеров крались различные документы, базы данных, ключи шифрования и пароли. Среди форматов украденных файлов в «Касперском» обнаружили файлы с расширением acid*, говорящем об их принадлежности к секретному ПО Acid Cryptofiler, которое используют ряд организаций, входящих в состав Евросоюза и НАТО.

По словам Виталия Камлюка, в соответствии со статистикой Kaspersky Security Network (KSN) в общей сложности было заражено более 300 компьютеров. Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира, значительная их часть была расположена на территории Германии и России, выяснили в «Касперском». В разговоре с CNews Камлюк отметил, что местоположение главного сервера шпионской сети пока остается неизвестным.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского» анализировали данные, полученные из двух основных источников: облачного сервиса KSN и специальных серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

CNews подготовил инфографику по одной из крупнейших информационных систем России
Цифровизация

«Наше исследование началось после получения файлов от одного из наших партнеров, который пожелал остаться анонимным. Очень скоро мы поняли, что имеем дело с одной из наиболее масштабных сетей кибершпионажа, которую мы встречали, - заявил CNews Виталий Камлюк. - Количество и разнообразие вредоносного кода этой кампании просто невероятно – более 1000 уникальных файлов и 34 типа различных модулей. Кроме того, мы полагаем, что нам доступна лишь часть реальной картины, которая в реальности гораздо больше и шире».

Расследование по этому поводу компания начала в октябре 2012 г. и сейчас продолжает его совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT).

Наталья Лаврентьева