"Лабораторія Касперського" виявила кібермережу, яка шпіонить за урядовими організаціями

"Лабораторія Касперського" виявила шпигунську мережу, організатори якої стежать за дипломатичними, урядовими і науковими організаціями в різних країнах. Як повідомили в прес-службі компанії, дії кіберзлочинців були направлені на отримання конфіденційної інформації і даних, що відкривають доступ до комп'ютерних систем, персональних мобільних пристроїв і корпоративних мереж, а також збір відомостей геополітичного характеру. Основний акцент злочинці зробили на республіках колишнього СРСР, країнах Східної Європи, а також низки держав в Центральній Азії.

У жовтні 2012 р. експерти почали розслідування серії атак на комп'ютерні мережі міжнародних дипломатичних представництв. В процесі вивчення цих інцидентів фахівці виявили масштабну кібершпіонську мережу. За підсумками її аналізу експерти прийшли до висновку, що операція під кодовою назвою "Червоний жовтень" почалася ще в 2007 р. і продовжується до цих пір.

Як повідомили в "Лабораторії Касперського", основною метою кіберпзлочинців стали дипломатичні та урядові структури по всьому світі. Проте серед жертв також зустрічаються науково-дослідні інститути, компанії, що займаються питаннями енергетики, зокрема ядерною, космічні агентства, а також торгові підприємства. Творці "Червоного жовтня" розробили власне шкідливе програмне забезпечення (ПЗ), що має унікальну модульну архітектуру, що складається з шкідливих розширень, модулів, призначених для крадіжки інформації.

Для контролю мережі заражених машин кіберзлочинці використовували більше 60 доменних імен і серверів, розташованих в різних країнах. При цьому значна їх частина була розташована на території Німеччини і Росії. Аналіз інфраструктури серверів управління показав, що зловмисники використовували цілий ланцюжок проксі-серверів, щоб приховати місцеположення головного серверу управління.

Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid*, що говорять про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, яке використовує низка організацій, що входять до складу Європейського союзу і НАТО.

Для зараження систем злочинці використовували фішингові листи, адресовані конкретним одержувачам. До складу листа входила спеціальна троянська програма, для установки якої листи містили експлойти, що використали уразливості в Microsoft Office. Ці експлойти були створені сторонніми зловмисниками і раніше використовувалися в різних кібератаках, націлених як на активістів Тибету, так і на військовий і енергетичний сектори низки держав азіатського регіону.

Кіберзлочинці створили мультифункціональну платформу для здійснення атак, що містила декілька десятків розширень і шкідливих файлів, здатних швидко підстроюватися під різні системні конфігурації і збирати конфіденційні дані із заражених комп'ютерів.

"Реєстраційні дані командних серверів і інформація, що міститься у виконуваних файлах шкідливого ПЗ, дають всі підстави припускати наявність у кіберзлочинців російськомовного коріння", - вважають експерти.