«Лаборатория Касперского» разоблачила мировую шпионскую сеть
Вирус "Красный Октябрь" с 2007 года похищал секретные данные правительств стран СНГ и Восточной Европы
Российские специалисты по компьютерной безопасности объявили об обнаружении опасного компьютерного вируса Red October, с помощью которого хакеры с 2007 года имели возможность похищать из компьютеров секретную информацию.
Исследователи из «Лаборатории Касперского» утверждают, что вирус был нацелен на компьютерные системы многих правительственных учреждений, включая посольства, ядерные исследовательские центры и предприятия нефтяной и газовой промышленности. Главной мишенью мощной хакерской кампании были страны Восточной Европы, бывшие советские республики и страны Центральной Азии. Программа должна была похищать зашифрованные файлы и даже могла восстанавливать информацию, стертую с жесткого диска. Еще одна особенность вируса Red October в том, что он может притвориться «убитым» в случае выявления.
Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть была расположена на территории Германии и России. Злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из заражённых систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского cоюза и НАТО.
Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона.
В антивирусной базе «Лаборатории Касперского» данная вредоносная программа имеет название Backdoor.Win32.Sputnik. Вирус был обнаружен в октябре прошлого года.
Как отметил профессор Суррейского университета Алан Вудворд, размах атаки был «весьма значительным».
«Злоумышленники собирали секретную информацию, в том числе разведданные геополитического значения, коды доступа к закрытым компьютерным системам, а также данные личных устройств мобильной связи и сетевого оборудования», - говорится в официальном заявлении «Лаборатории Касперского».
«Мы начали проверку и быстро поняли, что имеем дело с массированной кибератакой. Число жертв было весьма ограничено, и все они были тщательно отобраны. Все они были связаны с очень серьезными организациями», - заявил в интервью BBC ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк.
По словам Камлюка, программный код изобилует англицизмами с русским налетом: «Нам часто попадается слово «proga» - это русское сленговое обозначение программы, которого нет ни в каком другом языке».
Вирусная программа Red October («Красный Октябрь»), названная в честь вымышленной российской подводной лодки из шпионского романа Тома Клэнси, очень напоминает нашумевшую кибератаку Flame.
«Лаборатория Касперского» совместно с международными организациями, правоохранительными органами и национальными командами реагирования на компьютерные инциденты продолжает расследование операции.