• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. «Оправдания не принимаются». Лукашенко заявил, что на Олимпиаду надо отправить «боеспособный десант»
  2. Виктора Лукашенко уволят с должности помощника президента
  3. Байкеры пытались отбить товарища у неизвестных у ТЦ «Европа». Ими оказались силовики, парней отправили в колонию
  4. «Когда Володя готовит, в доме все замирает». Макей и Полякова — о секретах брака, быте, Латушко и политике
  5. Минчане пришли поставить подпись под обращением к депутату — и получили от 30 базовых до 15 суток
  6. «Из-за анорексии попал в реанимацию». История пары, где у одного психическое расстройство
  7. «Магазины опустеют? Скоро девальвация?» Экономисты объяснили, что значит и к чему ведет заморозка цен
  8. Экс-директору отделения Белгазпромбанка в Могилеве Сергею Кармызову вынесли приговор
  9. «Любой поставщик должен закладывать в цену риск принятия судом такого решения». Кредиторы БМЗ в печали
  10. «Фантастика какая-то». В Гродно начали судить водителя Тихановского, который молчал все следствие
  11. По Мстиславлю уже 5 месяцев гуляет стадо оленей. Жители говорят, что олениха с детенышем ранена
  12. Требования дать «план победы» — это вообще несерьезно. Ответ Чалого разочарованным
  13. Александр Лукашенко — больше не президент Национального олимпийского комитета
  14. Жила в приюте для нищих, спаслась после теракта в США. Женщина, которая перевернула российскую «фигурку»
  15. Выброшенные на лед в Шклове освежеванные трупы животных оказались лисьими. Их проверяют на бешенство
  16. 10 лет по делу о выстреле в Бресте. Что рассказывают родные осужденных и адвокат
  17. В Беларуси выпустили пробную серию российской вакцины от коронавируса
  18. «Ситуация, похоже, только ухудшилась». Представитель Верховного комиссара ООН — о правах человека в Беларуси
  19. Звезда белорусской оперы сказал три слова на видео, его уволили «за аморальный проступок» — и суд с этим согласился
  20. Белорус опубликовал информацию обо всех известных захоронениях соотечественников в Чехии и Словакии
  21. Рынок лекарств штормит. Посмотрели, как изменились цены на одни и те же препараты с конца 2020-го
  22. Сейчас плюс даже ночью, а какими будут выходные: синоптики о погоде на конец февраля — начало марта
  23. Могилев лишился двух уникальных имиджевых объектов — башенных часов и горниста (и все из-за политики). Что дальше?
  24. «Куплен новым в 1981 году в Германии». История 40-летнего Opel Rekord с пробегом 40 тысяч, который продается в Минске
  25. Под угрозой даже универсам «Центральный». Что происходит в магазинах «Домашний» из-за проблем сети
  26. Новый глава НОК, возможные санкции Украины, суды и приговоры. Что происходило 26 февраля
  27. «Теряю 2500 рублей». Работники требуют, чтобы «плюшки» были не только членам провластного профсоюза
  28. Политолог: Россия устала играть в кошки-мышки с Лукашенко, но не видит альтернативы
  29. Бывший офицер: «В августе понимал, что рано или поздно дело коснется меня и я не смогу на это пойти»
  30. «За 5−10 тысяч можно взять дом». Белорус переехал из Минска за 90 километров «у мястэчка» и возрождает его


"Лаборатория Касперского" опубликовала отчет об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира.


Увеличить

Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты "Лаборатории Касперского" начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа эксперты "Лаборатории Касперского" пришли к выводу, что операция под кодовым названием "Красный октябрь" началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели "Красного октября" разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе "Лаборатории Касперского" данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами "Лаборатории Касперского", показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое использует ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты "Лаборатории Касперского", анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.

Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013-го. За это время было зафиксировано более 55000 подключений с 250 зараженных IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

- Модуль восстановления, позволяющий преступникам "воскрешать" зараженные машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.

- Усовершенствованные криптографические шпионские модули, предназначенные для кражи информации, в том числе из различных криптографических систем, например из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.

- Возможность инфицирования мобильных устройств: помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удаленные файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

"Лаборатория Касперского" совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

'Лаборатория Касперского' выражает благодарность US-CERT, CERT Румынии и CERT Беларуси (Оперативно-аналитический центр при Президенте Республики Беларусь) за их помощь в этом расследовании.

-49%
-50%
-15%
-12%
-20%
-20%
-26%
0072641