"Самый опасный россиянин" рассекретил данные по крупнейшей кибершпионской сети под названием "Красный октябрь"
Эксперты "Лаборатории Касперского" (главу компании недавно американцы внесли в список наиболее опасных людей в мире) опубликовали данные о крупнейшей сети кибершпионажа, направленной против правительств, дипломатических ведомств, научно-исследовательских институтов целого ряда стран, передает корреспондент Накануне.RU.
Исследование, как утверждают в "Лаборатории Касперского", было заказано одним из клиентов компании и выявило разветвленную сеть кибершпионажа с уникальной архитектурой, действовавшую на протяжении не менее пяти лет по всему миру.
"Эта операция, которую мы назвали "Red October" (в сокращении "Rocra"), продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года", – говорится в сообщении.
|Фото: Фото: Накануне.RU','600','302','true') "Накануне.RU, накануне, логотип(2021)|Фото: Фото: Накануне.RU")
Карта атак операции Red October (кликните для увеличения)
Среди наиболее значимых фактов, которые были выявлены в ходе исследования, эксперты отмечают, что атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира; информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях. Помимо этого, сообщается, что для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России). Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.
Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.
Согласно результатам исследования, атаки совершались по всему миру, в том числе на территории постсоветского пространства, в США, в странах Европы, некоторых африканских и латиноамериканских странах и в Австралии. Предположительно, используемые при атаках эксплойты создавались китайскими хакерами, а вредоносные модули создавались русскоязычными специалистами.
"В настоящий момент у нас нет фактов, свидетельствующих о прямом участии в этой атаке какого-либо государства. Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на 'черном рынке' и продана любому, кто предложит наиболее высокую цену", – отмечают эксперты "Лаборатории Касперского".
В то же время, эксперты отмечают высокий уровень и сложность операции. Они подчеркивают, что все атаки были тщательно подготовлены со знанием специфики целей. Например, все исходные файлы документов были модифицированы и снабжены уникальными модулями, скомпилированными с уникальным ID цели. Далее, использовался высокий уровень взаимодействия между атакующими и зараженным объектом – операция разворачивалась в зависимости от того, какая конфигурация на компьютере и в сети жертвы, какие типы документов используются, какие установлены приложения на рабочей станции, какой родной язык жертвы и так далее.
В сравнении с кампаниями кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более 'персональные' и ориентированы на конкретных жертв.
По оценке специалистов, в ходе операции Red October атакующие умудрились оставаться "в игре" больше 5 лет, избегая детектирования со стороны большинства антивирусных решений и похитив к настоящему времени сотни терабайт информации.