"Лаборатория Касперского" выявила шпионскую сеть, организаторы которой следят за дипломатическими, правительственными и научными организациями в различных странах.
Как сказано в сообщении компании, действия киберпреступников были нацелены на получение конфиденциальной информации и данных, открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также на сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии.
В октябре прошлого года, начав расследование серии атак на компьютерные сети международных дипломатических представительств, эксперты обнаружили масштабную кибершпионскую сеть. По итогам ее анализа специалисты установили: операция под кодовым названием "Красный октябрь" началась еще в 2007 года и продолжается до сих пор.
Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру, однако среди жертв встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия. Создатели "Красного октября" разработали собственное вредоносное программное обеспечение, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации.
Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах. При этом значительная их часть была расположена на территории Германии и России. Анализ инфраструктуры серверов управления показал, что злоумышленники использовали целую цепочку прокси-серверов, чтобы скрыть местоположение главного сервера управления.
Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящим об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое использует ряд организаций, входящих в состав Европейского союза и НАТО.
Для заражения систем преступники использовали фишинговые письма, адресованные конкретным получателям. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств Азиатского региона.
Киберпреступники создали мультифункциональную платформу для совершения атак, содержавшую несколько десятков расширений и вредоносных файлов, способных быстро подстраиваться под разные системные конфигурации и собирать конфиденциальные данные с зараженных компьютеров.
"Регистрационные данные командных серверов и информация, содержащаяся в исполняемых файлах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней", – цитирует экспертов
РБК.
Войти с помощью: