«Червоний жовтень»: новий крок кіберзлочинців
Дії зловмисників були спрямовані на отримання конфіденційної інформації, даних відкривають доступ до комп'ютерних систем, персональним мобільним пристроям і корпоративних мереж, а також збір відомостей геополітичного характеру. Основний акцент атакуючі зробили на республіках колишнього СРСР, країнах Східної Європи, а також низці держав Центральної Азії.
У жовтні 2012 року експерти «Лабораторії Касперського» почали розслідування серії атак на комп'ютерні мережі міжнародних дипломатичних представництв. В процесі вивчення цих інцидентів фахівці виявили масштабну кибершпионскую мережу. За підсумками її аналізу експерти «Лабораторії Касперського» прийшли до висновку, що операція під кодовою назвою «Червоний жовтень» почалася ще в 2007 році і триває досі.
Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу. Однак серед жертв також зустрічаються науково-дослідницькі інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства. Творці «Червоного жовтня» розробили власну шкідливе пз, що має унікальну модульну архітектуру, що складається з шкідливих розширень, модулів, призначених для крадіжки інформації. В антивірусній базі «Лабораторії Касперського» дана шкідлива програма має назву Backdoor.Win32.Sputnik.
Для контролю мережі заражених машин кіберзлочинці використовували понад 60 доменних імен і сервери, розташовані в різних країнах світу. При цьому значна їх частина була розташована на території Німеччини і Росії. Аналіз інфраструктури серверів управління, проведене експертами «Лабораторії Касперського», показав, що зловмисники використовували цілий ланцюжок проксі-серверів, щоб приховати розташування головного сервера управління.
Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid*говорять про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, яке використовують ряд організацій, що входять до складу Європейського Союзу і НАТО.
Для зараження систем злочинці використовували фішингові листи, адресовані конкретним одержувачам в тій чи іншій організації. До складу листа входила спеціальна троянська програма, для установки якої листа містили експлойти, які використовували уразливості в Microsoft Office. Ці експлойти були створені сторонніми зловмисниками і раніше використовувалися в різних кібератаки, націлених як на активістів тибету, так і на військовий і енергетичний сектори низки держав азіатського регіону.
Для визначення жертв кибершпионажа експерти «Лабораторії Касперського», аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв'язок з командними серверами.
- Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп'ютерів, більшість з яких належали посольств, консульств, державним організаціям і науково-дослідницьких інститутів. Значна частина заражених систем була виявлена в країнах Східної Європи.
- Дані sinkhole-серверів були отримані в період з 2 листопада 2012 року по 10 січня 2013. За цей час було зафіксовано більше 55000 підключень з 250 заражених IP-адреси, зареєстрованих в 39 країнах. Більшість з'єднань, встановлених із заражених IP-адреси, були зафіксовані в Швейцарії, Казахстані та Греції.
Кіберзлочинці створили багатофункціональну платформу для здійснення нападів, що містила кілька десятків розширень і шкідливих файлів, здатних швидко підлаштовуватися під різні системні конфігурації і збирати конфіденційні дані із заражених комп'ютерів.
До найбільш примітним характеристик модулів можна віднести:
- Модуль відновлення, що дозволяє злочинцям «воскрешати» заражені машини. Модуль вбудовується як плагін Adobe Reader і Microsoft Office і забезпечує атакуючим повторний доступ до системи у випадку, якщо основна шкідлива програма була детектирована і видалена або якщо відбулося оновлення системи.
- Вдосконалені криптографічні шпигунські модулі, призначені для крадіжки інформацію, у тому числі з різних криптографічних систем, наприклад, з Acid Cryptofiler, яка використовується з 2011 року для захисту інформації в таких організаціях, як НАТО, Європейський Союз, Європарламент і Єврокомісія.
- Можливість інфікування мобільних пристроїв: Крім зараження традиційних робочих станцій це шкідливе пз здатне красти дані з мобільних пристроїв, зокрема смартфонів (iPhone, Nokia і Windows Phone). Також зловмисники могли красти інформацію про конфігурацію з мережного промислового устаткування (маршрутизатори, комутаційні пристрої) і навіть віддалені файли з зовнішніх USB накопичувачів.
Реєстраційні дані командних серверів та інформація, що міститься в виконуваних фалах шкідливого ПО, дають всі підстави припускати наявність кіберзлочинців російськомовних коренів.
«Лабораторія Касперського» спільно з міжнародними організаціями, правоохоронними органами і національними Командами реагування на комп'ютерні інциденти (Computer Emergency Response Teams, CERT) продовжує розслідування операції, надаючи технічну експертизу і ресурси для інформування та проведення заходів з лікування інфікованих систем.
Більш детальна інформація доступна на сайті www.securelist.com/ru/analysis.