Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

"Красный Октябрь": "Лаборатория Касперского" обнаружила кибершпионскую сеть

Аватар пользователя ko_mon

Преступники воровали информацию у правительственных структур разных стран. Чаще всего целью атак становилась Россия. Для контроля над зараженной сетью использовались серверы и домены разных стран, в том числе Германии.

 Эксперты в области компьютерной безопасности вскрыли масштабную шпионскую сеть, в течение нескольких лет воровавшую через интернет информацию с сотен компьютеров дипломатических представительств, госучреждений и исследовательских институтов по всему миру. Об этом говорится в отчете исследовательского центра "Лаборатории Касперского", первая часть которого опубликована на сайте организации Securelist.com в понедельник, 14 января.

"Кибершпионская сеть, получившая кодовое имя "Красный октябрь", была обнаружена в октябре прошлого года, - сообщил dpa Магнус Калькул (Magnus Kalkuhl), заместитель директора Центра глобальных исследований и анализа угроз "Лаборатории Касперского". - Мы полагаем, что свою деятельность она начала еще в 2007 году".

 

Киберпреступники стремились прежде всего получить доступ к компьютерам дипломатических служб и правительственных структур. Зараженные вредоносным кодом компьютеры также были выявлены в научных институтах, коммерческих структурах и компаниях, связанных с созданием вооружений. Всего было выявлено около 300 взломанных компьютеров. В антивирусной базе компании вирус классифицируется как Backdoor.Win32.Sputnik.

Германия - часть инфраструктуры

Для контроля за зараженными машинами преступники использовали более 60 доменных имен и серверов. Значительная их часть находилась на территории Германии и России. Специалистам "Лаборатории Касперского" пока не удалось обнаружить местоположение основного сервера сети, на который направлялась вся полученная информация. Но данные, полученные ими в ходе исследования, указывают на то, что вредоносные модули были созданы русскоязычными специалистами.

Согласно статистике, опубликованной в отчете, Россия чаще всего становилась целью кибератак. На втором и третьем месте - Казахстан и Азербайджан соответственно. В основном зараженные компьютеры находились в странах бывшего СССР, но вредоносное ПО было выявлено также в странах Европы, Ближнего и Среднего Востока.

Киберпреступники охотились за секретной информацией

Шпионская сеть была нацелена, среди прочего, на похищение документов с расширениями "acid*". Они принадлежат секретному программному обеспечению для шифрования "Acid Cryptofiler", которое используется в структурах Евросоюза и НАТО.

Для внедрения в систему преступники рассылали письма конкретным получателям в разных структурах. В их состав входила специальная троянская программа, которая использовала для своей установки уязвимые места в Microsoft Office.

Вирус позволял преступникам похищать данные и с мобильных устройств. Кроме того, он был способен на самовосстановление после удаления основной вредоносной программы. Модуль "воскрешения" встраивался в качестве плагина в Adobe Reader и Microsoft Office.

Самые последние файлы вредоносного ПО датируются 8 января 2013 года. Расследование по делу кибершпионской сети продолжается совместно с правоохранительными органами, международными организациями и национальными службами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT). В частности, "Лаборатория Касперского" выразила благодарность за помощь в расследовании CERT Беларуси, Румынии и США.

Источник: dw.de

Вот что об этом пишут на сайте "Лаборатории Касперского":

«Лаборатория Касперского» опубликовала отчёт об исследовании масштабной кампании, проводимой киберпреступниками с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на получение конфиденциальной информации, данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.

В октябре 2012 года эксперты «Лаборатории Касперского» начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты «Лаборатории Касперского» пришли к выводу, что операция под кодовым названием «Красный октябрь» началась еще в 2007 году и продолжается до сих пор.

Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели «Красного октября» разработали собственное вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik.

Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть находилась на территории Германии и России. Анализ инфраструктуры серверов управления, проведенный экспертами «Лаборатории Касперского», показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.

Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.

Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.

Для определения жертв кибершпионажа эксперты «Лаборатории Касперского», анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.

Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с заражённых компьютеров.

К наиболее примечательным характеристикам компонент вредоносной программы можно отнести:
Модуль восстановления, позволяющий преступникам «воскрешать» заражённые машины. Модуль встраивается как плагин в Adobe Reader и Microsoft Office и обеспечивает атакующим повторный доступ к системе в случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление системы.
Усовершенствованные криптографические шпионские модули, предназначенные для кражи информацию, в том числе из различных криптографических систем, например, из Acid Cryptofiler, которая используется с 2011 года для защиты информации в таких организациях, как НАТО, Европейский Союз, Европарламент и Еврокомиссия.
Возможность инфицирования мобильных устройств: Помимо заражения традиционных рабочих станций это вредоносное ПО способно красть данные с мобильных устройств, в частности смартфонов (iPhone, Nokia и Windows Phone). Также злоумышленники могли красть информацию о конфигурации с сетевого промышленного оборудования (маршрутизаторы, коммутационные устройства) и даже удалённые файлы с внешних USB-накопителей.

Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней.

«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем.

Более подробная информация доступна на сайте www.securelist.com/ru/analysis.

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Капитан
Капитан(5 лет 9 месяцев)(01:53:59 / 15-01-2013)

Ну теперь понятно, почему Касперский вошёл в 10 самых опасных людей года.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(02:00:05 / 15-01-2013)

офис - зло...

а тех, кто хранит секреты на компах, подключенных к сети - увольнять...

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(08:43:08 / 15-01-2013)

Да не офис, а Windows...

По собственному опыту - поставил у себя на компе в офисе Арч в качестве эксперимента, уже четвёртый год пошёл и никаких проблем, ни с вирусами, ни с утечками. :-)

Давно пора на государственном уровне избавиться от этого убожества.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 9 месяцев)(09:43:30 / 15-01-2013)

Ставь OpenOffice и не парься.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(11:33:04 / 15-01-2013)

%) Так там и так в пакетах LibreOffice есть, собственно в нём и работаю в основном. ;-)

Вообще, за исключением разных CAD-ов в линухах есть почти всё, что нужно. Причём большинство работы выполняется штатными средствами, без танцев с бубнами. ;-)

Аватар пользователя ko_mon
ko_mon(5 лет 9 месяцев)(23:36:34 / 15-01-2013)

и прочих ну да, но не для графики. Для всяких CAD-ов и корелов - увы. Чертёж, рисунок, ЗД-моделинг - гудбай линух и комп становится бесполезной игрушкой, так, письмишко прочитать, но с этим и телефон справится. Не только айтишники пользуют комп. И не только менеджеры с бухгалтерами. Но делается всё для них.

С удовольствием перешла бы на линух или на какую-то нашу систему, успешно работающую именно с графикой. Нет их.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(00:38:08 / 16-01-2013)

мак ось вроде со всех сторон хороша...

Аватар пользователя ko_mon
ko_mon(5 лет 9 месяцев)(00:48:30 / 16-01-2013)

ну да, но тоже амерский продукт и не линух же хвалёный. Стало уже непременным петь дифирамбы линуху - номер, обязательный для исполнения. 

И потом, после такого шквала восторгов по поводу наших супер-программистов как-то странно воспринимается отсутсвие своей системы, отечественной.   Но все заливисто хают винду  и восторгаются линухом , так принято. 

 

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(00:54:48 / 16-01-2013)

современная система - слишком человекоемкий продукт. вон Микрософт не пишет новую систему с нуля никогда, я офигел, увидев в server2008 диалоговое окно от win 3.11 :)

а нам пришлось бы с нуля начинать...

Аватар пользователя ko_mon
ko_mon(5 лет 9 месяцев)(01:54:36 / 16-01-2013)

всё когда-то начинается "с нуля". У нулевого страта есть одно немало преимущество - можно избежать чужих, известных ошибок (и налепить своих, новых ~__^). И можно сделать изначально более удачную систему, более современную, а не тащить весь ворох мусора с первого кода, написанного ещё "в гараже". 

Разглагольствовать всегда проще, чем делать. 

Я к чему - обидно. Пафоса и саморекламы - до небес, а работаем на амерском продукте (на продукте "вероятного противника", как говаривали во время оно). Ладно, для домохозяйки, постящей рецептики в соц.сети, или для школьника, закрашивающего фотожопом прыщи на фотографии, или для "пикейных жилетов", обсуждающих теорию заговора  на форуме ^___^ это не критично. Для чиновничьего аппарата - критично, и для науки, и иже с ними. И что-то мне подсказывает, что самолёты/танки/баллистические ракеты/и прочие ништяки конструкторы сегодня вряд ли карандашиком на ватмане чертят. Интересно, какая у них ОС? На каком ПО они работают? Нешто в сеть не подключены?

Про то, чья она, эта "мировая сеть", - вообще не разговор.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(07:01:30 / 16-01-2013)

 Но все заливисто хают винду  и восторгаются линухом , так принято. - У нас в конторе все с точностью до наоборот, только вот я в линухе делаю всё, что меня касается раза в 1,5...2 быстрее, за что и заслужил ненависть и зависть, по меньшей мере, четверти коллектива. ;-)

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(06:54:57 / 16-01-2013)

Ну про 3D эт вы зря, у нас архитектор в конторке, неплохие вещицы делает в Блендере причём быстрее чем другая в Максе, я сам в Инкскейпе и Гимпе иногда схемки ваяю да фотки и подложки правлю. Так-что на мой взгляд - только кады...

Аватар пользователя Wil
Wil(5 лет 3 месяца)(04:29:47 / 15-01-2013)

На особо секретных обьектах, имхо, не должно быть не только ынтернета, но даже локалки. пусть бегают с флешками, на то и режимный объект.

А в остальном, всякие нии, разработчики, учреждения - должны быть защищены ФАПСИ.

Там спецы работают такие, что касперский рядом с ними - в песочнице играет.

Многие пойманные хакеры, по слухам продолжают свою карьеру в этом учреждении, заместо отсидки, или просто переросли свои детские шалости да решили развиватся дальше.

кстати, запросто эти товарищи просекли мегатрояна раньше каспекского, да сливали ему втихаря дезу.

Аватар пользователя Federal
Federal(5 лет 10 месяцев)(07:06:15 / 15-01-2013)

На режимных объектах флешки тоже запрещены.

Аватар пользователя baa1964
baa1964(5 лет 10 месяцев)(05:56:37 / 15-01-2013)

Линукс юзаю. А что такое вирус? :)

Аватар пользователя Federal
Federal(5 лет 10 месяцев)(07:07:49 / 15-01-2013)

Трояны под Линукс есть, так что ваша радость преждевременна. Хотя некоторым лучше оставаться в неведении, чтобы спать спокойно. )

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(08:53:17 / 15-01-2013)

Есть конечно! Но о них практически всё известно, поскольку система полностью документирована и каждый может в исходном коде порыться, а если дырка и обнаруживается, то заплатка в репозитории вылетает на следующие пару дней. Так что достаточно настроить систему и забыть об этом. Я уж не говорю о целенаправленно защищаемых системах...

Аватар пользователя Artemy
Artemy(5 лет 8 месяцев)(09:21:04 / 15-01-2013)

Все говорят: "Есть трояны и вирусы в линуксе."

А я отвечаю: "Дайте два! Ну, хотя бы один! Что вам жалко, что ли? У вас же их много!"

И отвечаю так я уже более 10 лет.

Вредоносную программу поражающую данный конкретный комп представить не сложно. Но в конкретных случаях юзер оказывается самой большой дырой в безопасности.

Архитектура линукса и оперативность закрытия обнаруженных проблем в безопасности делают жизнь "вирусописателя под линукс" бесплодной.

Аватар пользователя Rashad_rus
Rashad_rus(5 лет 9 месяцев)(09:48:33 / 15-01-2013)

Не гони пургу. Для пользовательских систем - линукс - идеален в плане защиты от вирусов, троянов и прочей дряни, особенно при грамотно пересобранном ядре и отключенных неиспользуемых службах и включенном iptables или ipfw с дополнением из fail2ban. А если еще включить контроль загрузки и backup, то проникновение дряни в систему вообще исключается.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(12:07:18 / 15-01-2013)

ну все, линуксосрач полетел :)

скажите, android - это nix?

Аватар пользователя sgerr
sgerr(5 лет 10 месяцев)(13:03:00 / 15-01-2013)

скажите, android - это nix?

да , конкретно -- Linux

и MacOS X тоже, конкретно FreeBSD+OpenStep

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(13:38:09 / 15-01-2013)

тут кто-то просил трояна линуксового :)

Аватар пользователя sgerr
sgerr(5 лет 10 месяцев)(16:16:15 / 15-01-2013)

я -- не просил :)

Аватар пользователя Artemy
Artemy(5 лет 8 месяцев)(01:30:28 / 16-01-2013)

 Я просил. Но в очередной раз вместо трояна получил рассказ о нем. Я же так и писал выше: "Все _говорят_...", а вы мне трояна дайте.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(02:04:52 / 16-01-2013)

экий вы настырный...

вот, изучайте.

Аватар пользователя Artemy
Artemy(5 лет 8 месяцев)(03:05:56 / 16-01-2013)

Благодарю! Но... Я же соглашался, что под отдельно взятый комп вредоносную программу написать несложно. Ваш пример конечно "поражает" не один комп, а целую платформу, извесную всем под именем Андроид.

Моя проблема заключается в том, что на моем компе не стоит Андроид, но стоит линукс. И под линукс я ищу вирусы и трояны.

Кстати, судя по материалам ранее приведенной вами статьи, данный троян эсплуатирует доверчивость пользователя, а не слабость архитектуры ОС.

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(10:01:11 / 16-01-2013)

Вам повезло, чего не скажешь о 200 миллионах пользователей. Хотя некоторые умельцы и на ноутбук Андроид ставят (ноутбук по крайней мере, платные СМС не умеет отсылать).

Троян действительно использует методы социальной инжинерии, но ущерб от него мгновенный и конкретный, оценить же ущерб от вируса для РС можно не всегда и не сразу.

Некоторое время назад я наблюдал эпидемию андроид-троянов в интернете. Сайт Большого театра, онлайн магазины, форумы - везде сидела зараза, видимая только с мобильных устройств. Как ее туда внедряли - загадка, но не думаю, что все зараженные хостились на винде.

Заразиться же под Линуксом совсем не сложно. Вот я например, использую мессенджер qutIM, он удобен и в нем нет ничего лишнего. Одна беда - его нет в официальных репозиториях, зато у него есть собственный. Добавил в список, и теперь при проверке обновлений и для мессенджера они проверяются тоже. Если в обновлении программы или плагина к ней будет троян, мои личные документы станутне совсем личными. Если поймаю что-то наподобие, дам вам знать. Но скорее всего даже не замечу.

Аватар пользователя Federal
Federal(5 лет 10 месяцев)(17:07:38 / 16-01-2013)

Они используют все в комплексе, недостатки администрирования и сетевых служб, лень пользователей и админов, возможности удаленного исполнения и срыва стека приложений, да мало ли что еще. Отдельно и сама по себе слабость архитектуры ОС как правило никому никуда не уперлась и ничего не щекотала, ни в винде ни в юникс-системах.

Аватар пользователя Federal
Federal(5 лет 10 месяцев)(12:45:30 / 15-01-2013)

Бла-бла-бла. Я знаю только одну безопасную операционку - на выключенном из сети компьютере.

Аватар пользователя Vneroznikov
Vneroznikov(5 лет 11 месяцев)(13:32:44 / 15-01-2013)

Ну можно и на включенном в сети компьютере :)

Пока что никому сломать не удалось такие вот системы

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(13:51:58 / 15-01-2013)

вот будет у каждого мейнфрейм в кармане - тогда посмотрим :)

препод наш тоже говорил, что под СМ-1420 вирусов не бывает :)

Аватар пользователя ko_mon
ko_mon(5 лет 9 месяцев)(23:53:08 / 15-01-2013)

Я знаю только одну безопасную операционку - на выключенном из сети компьютере.

+100500!  

И без использования мобильных носителей информации (типа, работничек втихаря принёс флешечку из дому - а на ней что угодно, кажется, иранский ядерный примерчик, не?). 

Аватар пользователя nictrace
nictrace(5 лет 9 месяцев)(01:34:05 / 16-01-2013)

из электрической сети, да :)

Аватар пользователя Federal
Federal(5 лет 10 месяцев)(16:58:45 / 16-01-2013)

Да, я именно о ней.

Аватар пользователя baa1964
baa1964(5 лет 10 месяцев)(09:53:45 / 15-01-2013)

Все познается в сравнении. Вот тут сравнивают http://www.razgovor.org/special/article588/

Цитата: "Говнище страшное Виндоус любой - это вообще не обсуждается, дырявое деспотичное ведро с глюками и вирусами. Как вы с этим живете - вообще выше моего понимания. Работать на компьютере, не забывая ни на минуту, что везде в интернете можно подхватить вирус, нарваться на троян, что надо вовремя обновлять спасительную антивирусную программу, а иначе - пиздец, машина превращается в зомби для спаморассылок, начинает тормозить, виснуть или подсовывать рекламу, украдены пароли-блоги, а может даже отформатирован диск. Это как снимать комнату в туберкулезном бараке, тщательно соблюдая гигиену, не расставаясь ни днем ни ночью с марлевой повязкой, принимая профилактические антибиотики и три раза в сутки обтираясь раствором хлорки из специально купленного и регулярно обновляемого ведра. "

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(11:38:47 / 15-01-2013)

Цитатой укатали! :-))) В точку!!!

Аватар пользователя baa1964
baa1964(5 лет 10 месяцев)(11:57:44 / 15-01-2013)

Да там по ссылке весь текст такой.

Аватар пользователя nehnah
nehnah(5 лет 2 месяца)(13:28:12 / 15-01-2013)

Спасибо за ссылку, там и весь сайт убойный! :-)

Аватар пользователя ko_mon
ko_mon(5 лет 9 месяцев)(23:49:26 / 15-01-2013)

 ой как мило. Так и пожелеешь, что не менеджер/бухгалтер или айтишник, и что комп нужен не для написания текстов и ковыряния в табличках, или для написания программ. 

Всем этим нелепым кривлякам, так самозабвенно булькающим по поводу уникального&непревзойдённого линукса хочется заорать в рожу: "ну так сделай нормальную систему и для графики тоже, напыщенный осёл!". 

И, кстати, я уже неоднократно просила ВОЗДЕРЖИВАТЬСЯ  от матерщины. "Вы не в пивной!". И не подростки уже. 

Аватар пользователя baa1964
baa1964(5 лет 10 месяцев)(06:42:12 / 16-01-2013)

Вообще-то статья по ссылке называется "За что я ненавижу линукс".

Насчет мата это да в сети его все больше и больше. Я сам-то воздерживаюсь, а вот автор статьи не очень.

Аватар пользователя vvelichko
vvelichko(5 лет 11 месяцев)(06:44:34 / 16-01-2013)

Сделать "нормальную систему" не проблема, проблема в поддержке проприентарных форматов. Обеспечить полную поддержку форматов autocad не имея документаци малореальная задача.

Собсно оно и с файлами ms office не гладко, проприентарщина и пренебрежение стандартами маленькой софтовой конторой создает кастомеру анальную зависимость от вендора. Тем и живут.

Аватар пользователя vtorn
vtorn(5 лет 3 месяца)(07:58:39 / 15-01-2013)
Ну не зря же Россия и другие страны хотят отобрать у США монополию по управлению IP. пока не отоберут так и будут не найдены главные сервера атак...ну иль найдут их там где "надо".

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...