Следите за новостями

Цифра дня

138 тыс. цифровых доверенностей оформлено через «Цифровой нотариат» с момента запуска

    «Лаборатория Касперского»: Red October шпионит уже шесть лет

    Кибероружие, воровавшее, как удалось выяснить, огромные объемы данных у дипломатических и других ведомств в республиках бывшего СССР, а также в странах Восточной Европы и Центральной Азии еще с 2007 года

    21 января 2013 06:40, Computerworld.kz
    Рубрики: Мир

    Российская компания в последние два года стала известна своими разоблачени­ями орудий кибервойны, и похоже, что «Красный октябрь» стал очередным успе­хом «Лаборатории» в этом отношении.

    Выбор названия («Охота за Красным Октябрем» — так назывался вышедший в 1984 году, во времена правления Рональда Рейгана, роман Тома Клэнси о совет­ской подводной лодке) становится понятным, если прочитать отчет об исследо­вании, опубликованный «Лабораторией».

    Во-первых, Red October является модульным (общее число его компонентов — 30) и весьма сложным по архитектуре (1000 файлов со 115 датами создания, охватывающими период в два года с небольшим). Кроме того, он ориентирован на многие операционные среды (несколько мобильных платформ, помимо ПК) и имеет управляющую сеть, которая охватывала 60 доменов. Все это явно указы­вает на то, что Red October скорее киберорудие, а не просто криминальное.

    Будучи небольшим по численности пораженных им жертв, Red October избегал обнаружения по крайней мере с 2007 года, причем ему не просто повезло — код системы не был позаимствован из «коммерческих» вредоносных программ, иначе бы антивирусы уже давно его обнаружили.

    О целях «Красного Октября», пожалуй, лучше всего можно судить по информа­ции, которую он пытался красть: это обширный список типов файлов, в том числе файлы системы шифрования Acid Cryptofilter, которая, по сведениям «Ла­боратории», «применяется в некоторых структурах НАТО и Евросоюза» лишь с недавнего времени. Когда вирусу удавалось похитить верительные данные, он их использовал для последующих атак.

    «Красный Октябрь» проникал в системы к своим жертвам с помощью фишинга, совершаемого по электронной почте и использовавшего уязвимости Microsoft Office, в частности в Excel.

    Жертвами Red October стали почти 300 систем во многих странах, в том числе в Северной Америке и Западной Европе, но в основном в Восточной Европе и быв­ших советских республиках. Только в России было зарегистрировано 35 заражений.

    В коде вируса есть кое-какие признаки спешки. Например, для одной из уязвимо­стей операторы Red October воспользовались кодом известного эксплойта китай­ского происхождения, тем самым пойдя на риск раскрытия. Это явно не в стиле разведчиков старой школы.

    Что касается свидетельств сложности вируса помимо его обширной инфраструк­туры, то Red October использовал довольно необычные методы, например режим восстановления контроля: вирус ожидает открытия специально подготов­ленного документа Office или PDF и выполняет содержащиеся в нем команды. Этот механизм односторонней связи предусмотрен на случай отключения управ­ляющих серверов, полагают в «Лаборатории».

    Кто же может стоять за Red October и с какими намерениями?

    В «Лаборатории» делают ряд намеков, начиная с названия вируса в базе данных компании — Backdoor.​Win32.​Sputnik и его прозвища. Эксперты компании также пишут, что, судя по многочисленным свидетельствам, оставленным в файлах, есть основания предполагать, что создатели вируса — русскоязычные специалисты.

    Таким образом, круг подозреваемых сужается. Кто бы ни был автором вредонос­ной системы, он рассчитывал долгосрочно следить за правительственными и во­енными ведомствами в странах, когда-то бывших союзниками России, а также за их новыми друзьями во всем мире.

    «В связи с Red October неизбежно напрашивается вопрос — а какие еще неиз­вестные орудия кибервойны втайне ведут свою деятельность?» — рассуждает Джарно Лимнелл из финской компании по информационной безопасности Stonesoft.

    Судя по Red October, можно оценить масштаб разведывательной деятельности в киберпространстве. «Это уже напоминает шпионские страсти времен «холод­ной войны», — полагает Лимнелл. — Перед нами сложнейший вирус, который незамеченным преодолел системы безопасности и затем тайно работал, отправ­ляя своим операторам всевозможные собранные сведения. Киберпространство уже стало новой зоной боевых действий, и правительствам, негосударственным организациям, коммерческим компаниям пора понять, что атаки вроде Red October — это уже фактически норма. Что касается кибершпионажа — им зани­маются все. Просто кому-то это удается лучше, кому-то хуже».

    Кибервооружение, или системы сбора информации, используемые в политиче­ских целях, обладают колоссальной мощью. Они способны отследить всю замыс­ловатую паутину взаимоотношений между странами, что невозможно было бы сделать с помощью только поверхностного наблюдения. Биты и байты проника­ют повсюду, куда направляются потоки денег и товаров, и везде, где сосредото­чена власть. Кибершпионы абсолютно бесстрастны. Друг моего врага — мой враг. Но все не так просто — он еще и мой экономический партнер. Так что лучше приглядывать за ними всеми, ведь и они столь же скрупулезно следят за вами.