Следите за новостями

Цифра дня

10,4 млрд — количество безналичных транзакций в РК в III квартале 2024

    «Лаборатория Касперского» раскрыла сеть шпионажа

    Сенсационные данные, опубликованные «Лабораторией Касперского», говорят, что на протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа

    14 января 2013 22:43, Computerworld.kz
    Рубрики: Казахстан

    Евгений Касперский, основатель «Лаборатории Касперского», подтверждает реноме «одного из самых опасных людей на планете». В частности, компания публикует сенсационные данные, которые говорят о том, что на протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа. Операция «Red October», как назвали сеть в «Лаборатории» - это обширная сеть кибершпионажа против дипломатических и государственных структур, которая собирала данные и секретную информацию с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

    «Red October» - это серия целевых атак, которые происходили как минимум на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям:

    - Правительственные структуры.

    - Дипломатические ведомства/посольства.

    - Исследовательские институты.

    - Торговые и коммерческие структуры.

    - Ядерные/энергетические исследования.

    - Нефтяные и газовые компании.

    - Аэрокосмическая отрасль.

    - Военные ведомства и компании, связанные с созданием вооружений.

    Как отмечается в исследовании компании, операция «Red October» (в сокращении 'Rocra') продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

    Вот несколько основных моментов, на которые делается акцент в «Лаборатории»:

    - Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.

    - Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.

    - Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).

    - Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.

    - Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются 'Лабораторией Касперсого' как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.

    - Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

    В «Лаборатории» обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.

    Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы «Red October» только заменяли исполняемые файлы в документах на свои.

    Основываясь на данных, полученных при помощи Kaspersky Security Network (KSN), в «Лаборатории» составили список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik (включены страны с 5 и более заражениями).

    В листинге стран, подверженных наибольшему риску, Казахстан занимает 2 место после России с зафиксированным числом заражений Backdoor.Win32.Sputnik равным 21. В России было зафиксировано 38 таких случаев.