• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Офтоп
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Генпрокурор обвинил сопредельные государства в попытке внедрить в Беларусь «коричневую чуму»
  2. «Все средства будут использованы». Сколько денег белорусы уже собрали на восстановление костела в Будславе
  3. С чем полезнее съесть шашлык: с майонезом или кетчупом? Главное о здоровье за неделю
  4. Депрессия и 20 лишних кг почти похоронили ее карьеру. Фигуристка, которая была одной из лучших в мире
  5. В обвинении по «делу студентов» прокуроры говорят о санкциях ЕС и США
  6. Мангал под навесом уже не в тренде. Вот как круто белорусы обустраивают свои террасы и беседки
  7. Тысячи человек пришли на первый за 30 лет концерт «Кино» в Москве. Показываем, как это было
  8. Какая боль в шее особенно опасна и что при этом делать нельзя
  9. В Гомеле из-за вылетевшего на тротуар авто погибла девочка. Поговорили с экспертами и ГАИ, как защитить пешеходов в таких ДТП
  10. Суд по делу задержанной журналистки TUT.BY Любови Касперович не состоялся. Она остается на Окрестина
  11. Белорусы «без государства ни черта не сделают»? Собрали примеры, которые доказывают, что это не так
  12. Надежды нет? Прикинули, ждать ли белорусам тепла этим летом
  13. «С такой болезнью живут до 30 лет». История Кати и ее сына Вани с миопатией Дюшенна
  14. «50% клещей заражены». Врач — о клещевом боррелиозе и первой помощи при укусе
  15. «Здесь очень скучно». История Марии и Максима, которых по распределению отправили в агрогородок
  16. «Среди стран Европы хуже только в Молдове и Албании». Изучили статистику по белорусской науке
  17. Проект указа: садовые товарищества могут стать населенными пунктами. Но не сразу
  18. ГПК: сбор за выезд за границу на машине надо будет оплачивать с 1 июня
  19. Посмотрели цены на рынке «Валерьяново», куда приезжал Лукашенко, и сравнили с Комаровкой
  20. Фура и микроавтобус столкнулись под Смоленском — пострадали 13 белорусов, один в крайне тяжелом состоянии
  21. Медики больше не будут прививать от ковида всех желающих в ТЦ «Экспобел»
  22. Зверства школьников, «перевоспитание землей» и управляемый хаос. 55 лет Культурной революции в Китае
  23. Ваш народ от рук отбился. Почему у власти уже сбоит система распознавания «свой-чужой»
  24. По центру Минска ранним утром гулял бобр. Рассказываем, что с ним приключилось
  25. Лукашенко подписал законы о недопущении реабилитации нацизма и противодействии экстремизму. Что изменится?
  26. Матч между хоккейными сборными Беларуси и Казахстана отменен
  27. Йоханнес Бё души не чает в жене и ребенке. Только взгляните на их семейную идиллию
  28. Что сейчас происходит в Индии, которая шокирует мир смертностью от COVID-19? Рассказывают белоруски
  29. Рост ВВП, долгов и заветные «по пятьсот». Кратко о том, как развивалась экономика в последние 10 лет
  30. «Шахтер» обыграл «Неман» и установил новый рекорд чемпионата. БАТЭ добыл волевую победу над «Рухом»


"Лаборатория Касперского" опубликовала отчет об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира.


Увеличить

Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты "Лаборатории Касперского" начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа эксперты "Лаборатории Касперского" пришли к выводу, что операция под кодовым названием "Красный октябрь" началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели "Красного октября" разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе "Лаборатории Касперского" данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами "Лаборатории Касперского", показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое использует ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты "Лаборатории Касперского", анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.

Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.

Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013-го. За это время было зафиксировано более 55000 подключений с 250 зараженных IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.

К наиболее примечательным характеристикам модулей можно отнести:

- Модуль восстановления, позволяющий преступникам "воскрешать" зараженные машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.

- Усовершенствованные криптографические шпионские модули, предназначенные для кражи информации, в том числе из различных криптографических систем, например из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.

- Возможность инфицирования мобильных устройств: помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удаленные файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

"Лаборатория Касперского" совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

'Лаборатория Касперского' выражает благодарность US-CERT, CERT Румынии и CERT Беларуси (Оперативно-аналитический центр при Президенте Республики Беларусь) за их помощь в этом расследовании.

-20%
-50%
-20%
-30%
-10%
-15%
-7%
-50%
0069757