Хакеры

Длящаяся по сей день шпионская кибероперация, которую специалисты «Лаборатории Касперского» назвали «Красный октябрь» (Red October), началась не позднее мая 2007 г. и направлена против дипломатических и госструктур стран Восточной Европы, бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.

За пять лет атакуещие хакеры заразили сотни компьютеров и мобильных устройств и похитили сотни терабайт информации, используя более 60 доменных имен, подсчитали аналитики лаборатории. По их данным, домены размещались на промежуточных серверах, преимущественно с российскими и германскими IP-адресами. Где размещен основной сервер —  неизвестно.

Злоумышленников интересуют не только чиновники и дипломаты: компьютеры заражены и в научных, торговых, военных организациях, компаниях ядерной, нефтегазовой и аэрокосмической сферы. В основном заражения происходили через электронную почту, причем для каждой жертвы готовилось письмо на тему, способную заинтересовать именно владельца данного почтового аккаунта, говорит ведущий эксперт «Лаборатории Касперского» Виталий Камлюк. Например, это были объявления о продаже дипломатического автомобиля. Русские слова и жаргонизмы в тексте вирусных модулей позволяют предположить, что их код писали русскоязычные программисты, но выяснить принадлежность и цели хакеров экспертам «Лаборатории Касперского» не удалось.

За последние пять лет шпионские кибератаки эволюционировали от разрозненных атак, использующих конкретную уязвимость, до систем промышленного масштаба, говорит исполнительный директор Peak Systems Максим Эмм. Чтобы получить информацию, таргетированные атаки часто уже не требуются: нужные компьютеры (например, в госведомствах) инфицированы заранее, и доступ к ним продается владельцами ботнетов(сети из зараженных ПК), объясняет он.

Защититься от подобных атак можно с помощью одновременного использования технических средств, таких как установка антивирусных программ (знание того, каким антивирусом пользуется жертва, помогает атакующим остаться незамеченными), и организационных мер — запрета на открытие ссылок и вложений в письмах с неизвестных адресов, на использование одних и тех же внешних накопителей во внутренней и внешней сетях, говорит Камлюк. Вероятность взлома тем меньше, чем больше эшелонов имеет киберзащита организации: своевременно устанавливаются обновления программ, отсутствует ПО непроверенного происхождения, установлены антивирусные программы, наконец, компьютеры, содержащие секретную информацию, физически отделены от компьютеров, подключенных к интернету, добавляет Эмм.

Несколько ключевых фактов, обнаруженных в ходе  расследования «Лабораторией Касперского»:

  1. Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.
  2. Информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.
  3. Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).
  4. Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
  5. Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (детектируются ‘Лабораторией Касперсого’ как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.
  6. Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.
  7. Мы обнаружили использование как минимум трех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) and CVE-2012-0158 (MS Word). В 2010-2011 годах в известных нам атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.

Поделиться в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Комментарии:

Добавить комментарий

Введите свой Email для подписки на новости:

Twitter RSS


Наши официальные информационные партнеры:

Госкорпорация "Ростех"
Ростех

ОАО "Концерн «Созвездие"
ОАО «Концерн «Созвездие»