Следите за новостями

Цифра дня

66,7 тыс. казахстанцев прошло обучение на платформе Skills Enbek

    «Лаборатория Касперского» раскрыла сеть шпионажа

    Сенсационные данные, опубликованные «Лабораторией Касперского», говорят, что на протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа

    14 января 2013 22:43, Computerworld.kz
    Рубрики: Казахстан

    Евгений Касперский, основатель «Лаборатории Касперского», подтверждает реноме «одного из самых опасных людей на планете». В частности, компания публикует сенсационные данные, которые говорят о том, что на протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа. Операция «Red October», как назвали сеть в «Лаборатории» - это обширная сеть кибершпионажа против дипломатических и государственных структур, которая собирала данные и секретную информацию с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

    «Red October» - это серия целевых атак, которые происходили как минимум на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям:

    - Правительственные структуры.

    - Дипломатические ведомства/посольства.

    - Исследовательские институты.

    - Торговые и коммерческие структуры.

    - Ядерные/энергетические исследования.

    - Нефтяные и газовые компании.

    - Аэрокосмическая отрасль.

    - Военные ведомства и компании, связанные с созданием вооружений.

    Как отмечается в исследовании компании, операция «Red October» (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

    Вот несколько основных моментов, на которые делается акцент в «Лаборатории»:

    - Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.

    - Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.

    - Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).

    - Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.

    - Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются 'Лабораторией Касперсого' как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.

    - Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

    В «Лаборатории» обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.

    Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы «Red October» только заменяли исполняемые файлы в документах на свои.

    Основываясь на данных, полученных при помощи Kaspersky Security Network (KSN), в «Лаборатории» составили список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik (включены страны с 5 и более заражениями).

    В листинге стран, подверженных наибольшему риску, Казахстан занимает 2 место после России с зафиксированным числом заражений Backdoor.Win32.Sputnik равным 21. В России было зафиксировано 38 таких случаев.