Обнаружена обширная сеть кибершпионажа «Красный октябрь»

Обнаружена обширная сеть кибершпионажа «Красный октябрь»

Обнародован отчёт о серии кибератак на компьютерные сети диппредставительств, военных и др. структур

«Лаборатория Касперского» обнародовала отчёт о серии кибератак на компьютерные сети международных дипломатических представительств. Шпионская сеть, от которой пострадали десятки организаций по всему миру, получила кодовое название «Красный октябрь». 

Сообщается, что атаки начались в 2007 году и продолжаются по сей день. Основной целью киберпреступников стали дипломатические и правительственные структуры. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства и торговые предприятия.

Злоумышленники собирают различные данные и секретную информацию с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций. Нападениям в основном подвергаются республики бывшего СССР, страны Восточной Европы и некоторые государства в Центральной Азии. Кроме того, есть жертвы в Северной Америке и в отдельных странах Западной Европы, в частности в Люксембурге и Швейцарии.

Создатели «Красного октября» разработали собственное вредоносное ПО с уникальной модульной архитектурой, состоящей из вредоносных расширений и компонентов, которые предназначены для кражи информации. Для контроля сети заражённых машин использовалось более 60 доменных имён и серверов, расположенных в различных странах, в том числе в Германии и России. Чтобы скрыть местоположение главного командного узла, была задействована цепочка прокси-серверов.

Заражение компьютеров происходит через фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав таких посланий входит троянская программа, для установки которой эксплуатируются уязвимости в Microsoft Office. «Красный октябрь» содержит специальный модуль для повторного доступа к инфицированной системе в том случае, если основная вредоносная программа была детектирована и удалена или если произошло обновление ПК. Кроме того, используются усовершенствованные криптографические шпионские модули, предназначенные для кражи информации, в том числе из различных криптографических систем. 

Операция «Red October» продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает по своей сложности инфраструктуре Flame. Регистрационные данные, использованные при покупке доменных имен C&C-серверов, а также информация о датах создания файлов, указывают на то, что эти атаки проводились еще в мае 2007 года.

Несколько ключевых фактов, обнаруженных в ходе расследования:

·   Атакующие были активны на протяжении последних пяти лет, фокусируясь на дипломатических и государственных ведомствах в разных странах мира.

·   Информация, собранная из зараженных сетей, использовалась в последующих атаках. Украденные учетные данные были собраны в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях.

·   Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном в Германии и России).

·   Инфраструктура серверов управления представляет собой цепочку прокси-серверов и скрывает местоположение реального финального сервера, где собираются данные.

·   Многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации (определяются как Backdoor.Win32.Sputnik). Система также имеет механизм противодействия закрытию серверов управления и позволяет атакующим восстановить доступ к зараженным системам, используя альтернативные каналы связи.

·   Помимо традиционных целей атак (рабочие станции) система способна красть данные с мобильных устройств, таких как смартфоны (iPhone, Nokia, Windows Mobile); собирать информацию с сетевого оборудования (Cisco); осуществлять сбор файлов с USB-дисков (включая ранее удаленные файлы, для чего использует собственную технологию восстановления файлов); красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

·   В 2010-2011 годах в известных атаках использовались эксплойты для MS Excel, с лета 2012 года начались атаки с использованием уязвимости в MS Word.

·   Эксплойты, которые использовались в документах, рассылаемых в ходе целевых фишинговых атак, были созданы другими людьми и изначально использовались в атаках, направленных на тибетских активистов, а также на военные структуры и энергетические компании азиатских стран. Организаторы Red October только заменяли исполняемые файлы в документах на свои.

Эта группа атакующих и используемые ими файлы были неизвестны ранее, и они никак не связаны с какими-либо другими известными атаками. Примечательно, что одна из команд в троянском модуле инсталляции переключает кодовую страницу инфицируемой системы на 1251. Это требуется для того, чтобы иметь возможность обращаться к файлам и каталогам, содержащим кириллические символы. 

Red October - это серия целевых атак, которые происходили как минимум на протяжении последних пяти лет. В ходе этой операции по всему миру были атакованы сотни жертв. Атакованные организации относятся к 8 категориям:

1.       Правительственные структуры

2.       Дипломатические ведомства/посольства

3.       Исследовательские институты

4.       Торговые и коммерческие структуры

5.       Ядерные/энергетические исследования

6.       Нефтяные и газовые компании

7.       Аэрокосмическая отрасль

8.       Военные ведомства и компании, связанные с созданием вооружений 

Исследование атак было начато в октябре 2012 года. В ходе анализа атаки, писем и вредоносных модулей, были обнаружены истинные размеры кампании и начали её полномасштабное расследование.

В сравнении с кампаниями кибершпионажа Flame или Gauss, которые были значительно автоматизированы, атаки Red October более персональные и ориентированы на конкретных жертв.


Атакующие умудрились оставаться незамеченными больше 5 лет, избегая детектирования со стороны большинства антивирусных решений, похитив к настоящему времени сотни терабайт информации. С точки зрения географического распространения подключений были установлены 39 стран. Наибольшее количество IP-адресов было в Швейцарии, Казахстане и Греции. Обращает внимание, что заражению не были подвергнуты Британия и Канада, где проживает достаточное количество русскоязычных программистов. 


Одним из заказчиков раскрытия шпионской сети назван Оперативно-аналитический центр при Президенте Республики Беларусь. 

Последние новости
Лев Толстой писал, что все счастливые семьи похожи, а каждая несчастная семья несчастна…
Конфиденциальный и хорошо информированный израильский источник сообщил мне, что мощный взрыв в порту…
Расследование причин разрушительного взрыва в Бейруте только началось, но официальные лица уже указали…