"Лабораторията на Касперски" разкри международна шпионска компютърна мрежа

През октомври 2012 г. експертите от «Лабораторията на Касперски» са започнали разследване на серия от атаки към компютърните мрежи на международните дипломатически представителства. В процеса на изучаване на този инцидент специалистите са открили мащабна кибер-шпионска мрежа. По резултатите от нейния анализ експертите са стигнали до извода, че операция "Красний октябър" е започнала още през 2007 г. и продължава и до сега.

«Нашето изследване започна след получаването на файлове от един от нашите партньори, който пожела да остане анонимен. Много скоро ние разбрахме, че имаме работа с една от най-мащабните мрежи за кибершпионаж, които сме срещали до сега, - заяви пред CNews водещият експерт от «Лабораторията на Касперски» Виталий Камлюк. - Количеството и разнообразието на вредоносния код в тази кампания е просто невероятно – повече от 1000 уникални файла и 34 типа различни модули. Освен това, ние предполагаме, че за нас е  достъпна само част от реалната картина, която в действителност е много по-голяма и широка».

За пет години атакуващите са заразили около триста компютъра и мобилни устройства и са похитили стотици терабайти информация, използвайки повече от 60 доменни имена, пресметнаха анализаторите от лабораторията. По техни данни, домените са били разположени на междинни сървъри, предимно с руски и немски IP-адреси. Къде е  разположен основният сървър, е неизвестно.

Руските думи и използваният жаргон в текста на вирусните модули позволява да се  предположи, че техните кодове са писани от рускоезични програмисти, но да изяснят принадлежността и целите на хакерите, експертите от «Лабораторията на Касперски» не са успели.

Злоумишлениците се интересуват не само от чиновници и дипломати: заразени компютри има и в научните, торговски, военни организации, в компани от ядрената, петролната,  газовата и аерокосмическата сфери. Престъпниците са похищавали от заразените системи  информация, съдържаща се във файлове с различни формати. Сред всички останали, експертите са открили и файлове с разширение acid*, указващо на тяхната принадлежност към секретното програмно обезпечение Acid Cryptofiler, което се използва от цял ред организации, влизащи в състава на Европейския съюз и НАТО. От какви именно структури са изтичали данните, в «Касперски» предпочетоха да не разкриват, докато не е  завършено разследването.

Основно заразванията са ставали през електронната поща, при това за всяка жертва е подготвяно писмо на тема, способна да заинтересува именно собственика да дадения пощенски акаунт, отбеляза Виталий Камлюк в интервю дред «Ведомости». Например, това са били обяви за продажба на дипломатически автомобил. В състава на писмата е била внедрявана специална троянска програма, за инсталирането на която писмата са  съдържали експлойти, използващи уязвимости в Microsoft Office. Тези експлойти са били създавани от странични злоумишленици, и по-рано използвани в различни кибератаки, насочени както към тибетските активисти, така и към военния и енергиен сектори на ред държави от Азиатския регион.

Сред най-забележителните характеристики на използваното от киберпрестъпниците програмно обезпечение в «Касперски» отбелязват наличието в него на модул, позволяващ да бъдат «възкресявани» заразените машини. Модулът се вгражда като плагин в Adobe Reader и Microsoft Office и обезпечава на атакуващите повторен достъп до системата в случай, че основната вредоносна програма е била детективирана и изтрита, или е било извършено сериозно обновяване на системата. Освен това, той позволява да бъдат крадени данни и от мобилните устройства.

Разследването на «Лабораторията на Касперски» продължава съвместно с международни организации, правоохранителни органи и националните Подразделения за реагиране на компютърни инциденти (Computer Emergency Response Teams, CERT).

За последните пет години шпионските кибератаки са еволюционирали от отделни разпокъсани атаки, използващи конкретни уязвимости, до системи от промишлен мащаб, заяви изпълнителният директор на Peak Systems Максим Ем. пред вестник «Ведомости». За да бъде получена информация, таргетирани (целево насочени) атаки често вече не са  необходими: нужните компютри (например, в държавните ведомства) са инфицирани от по-рано, и достъпът до тях се продава от собствениците на ботнетите (мрежи от заразени ПК), обяснява той.

Да се защититим от подобни атаки може с помощта на едновременното използване на технически средства, такива като инсталирането на антивирусни програми (знанието за това, какъв антивирус използва жертвата, помага на атакуващите да останат незабелязани), и организационни мерки — забрана за отваряне на линкове и атачмънти в писмата с неизвестни адреси, на използването на едни и същи външни запомнящи устройства във вътрешните и външни мрежи, казва Камлюк. Вероятността от проникване е толкова по-малка, колкото повече ешалони има киберзащитата на организацията: своевременно инсталиране на обновленията на програмите, отсъствие на программно обезпечение с непроверен произход, инсталиране на антивирусни програми, и, най-накрая, компютрите, съдържащи секретна информация, физически трябва да са отделени от компютрите, имащи достъп до интернет, добавя Ем.

По материали на РБК, «Ведомости», CNews

"Российская газета". Всички права запазени.