„Лаборатория Касперски“ публикува доклад за провеждаща се мащабна кампания от страна на киберпрестъпници с цел шпионаж на дипломатически, правителствени и научни организации от целия свят.
Действията на престъпниците са насочени към получаването на конфиденциална информация, данни позволяващи неограничен достъп до компютърните системи, които са цел на атаките, достъп до лични мобилни устройства и корпоративни мрежи, а така също събиране на информация от геополитически характер. Основната зона на действие на киберпрестъпниците са страни от бившия СССР, държави от Източна Европа, а така също и близкоизточни държави.
През октомври миналата година специалисти от „Лаборатория Касперски“ са започнали разследване на инциденти свързани с атаки над мрежите на редица международни дипломатически представителства. В хода на разследването, специалистите са се натъкнали на мащабна шпионска кибермрежа. При анализа на мрежата, те установяват, че през 2007г. започва операция под кодовото име „Червен октомври“.
Основна цел на киберпрестъпниците са били дипломатически представителства, разположени по целия свят, но също така, мишена са били и научно-изследователски центрове, компании от енергийния сектор, в това число космически агенции и компании работещи в областа на ядрената енергетика, а така също и търговски компании. Създателите на „Червен октомври“, както е станало известно е кодовото име на престъпната операция, са били разработили свой собствен зловреден софтуер, който притежава уникална модулна архитектура, като цел на програмата е била кражба на информация. „Лаборатория Касперски“ са включили заплахата в своите антивирусни бази данни като Backdoor.Win32.Sputnik.
За целите на действията си киберпрестъпниците са ползвали повече от 60 сървъра и домейн имена, разпръснати в различни страни по света, като голяма част от тях са били разположени в Германия и Русия. За да скрият местоположението на главния сървър, злоумишлениците използвали множество прокси-сървъри.
За заразяване на системите, престъпниците основно ползвали фишинг имейли, които били адресирани към конкретни лица работещи в организациите ставали цел на престъпниците. В писмата се съдържало и троянска програма, чието инсталиране били улеснявано от експлойти в писмата, които използвали уязвимости в Microsoft Office. Много от тези експлойти били и използвани и преди, като са били забелязвани в зловредни имейли, с които са били атакувани редица предприятия от енергийния и военен сектор на няколко азиатски страни, а така също няколко тибетски активиста.
За анализ на пораженията от дейността на киберпрестъпниците, специалистите от „Лаборатория Касперски“ използвали два източника – облачната услуга на руската компания – Kaspersky Security Network (KSN) и sinkhole-сървърите, чиято функция е била да наблюдава заразените машини, които били свързани с командните сървъри. Благодарение на Kaspersky Security Network биват установени стотици заразени компютри принадлежащи на посолства, държавни организации, консулски служби и научни центрове, като по-голямата част от тях била разположена в Източна Европа.
Посредством анализа на данните от sinkhole-сървърите биват установени 55 000 свързвания към 250 IP-адреси, регистрирани в 39 страни. По-голямата част от връзките към тези заразени машини сочели адреси в Казахстан, Гърция и Швейцария.
Едни от най-впечатляващите характеристики на методите на атакуващата страна, която отбелзват от „Лаборатория Касперски“ са използването на модул за възстановяване, който бива вграждан като плъгин за Adobe Reader или Microsoft Office и гарантирал на киберпрестъпниците повторно заразяване на системите в случай, че основната програма бъде засечена и отстранена от системата или пък компютърът бъде преинсталиран. Следващото е изключително усъвършенстван криптографски защитен шпионски модул, който има възможност да открадне данни от ред криптозащитни системи, като да речем Acid Cryptofiler, използван от организации като НАТО, ЕС и ЕК за защита на данните. Той бе въведен в системите на споменатите организации преди две години. Трета по-интересна способност на програмата е възможност за заразяване на мобилни устройства. При заразяване на работните станции, програмата е способна да краде данни от мобилни устройства (най-вече смартфони), а така също и информация за мрежовото промишлено оборудване (маршрутизатори, комутационни устройства) и даже изтрити данни от външни USB носители.
Разглеждайки данните от командните сървъри и информацията снета от намерените изпълнителни файлове, специалистите стигат до извода, че е много вероятно киберпрестъпниците да имат рускоезични корени.
Повече информация, тук.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
