Операция Red October

Шпионаж прошлого века с мини-фотокамерами, просвечивающими очками и прочими прибамбасами, которыми пользовался агент 007, - это уже устарело. Ныне в ходу полноценный кибершпионаж. Операция Red October – это как раз о нем. На протяжении последних пяти лет против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа, во время которой собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций.

В октябре 2012 г. исследованием этих кибератак занялись эксперты "Лаборатории Касперского" в сотрудничестве с международными организациями, правоохранительными органами, национальными командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) и другими IT security компаниями. В ходе исследования был выявлен ряд ключевых фактов: хакеры использовали вредоносное ПО, имеющее уникальную модульную архитектуру, состоящую из вредоносных расширений, модулей, предназначенных для кражи информации. В антивирусной базе компании это вредоносное ПО классифицируется как Backdoor.Win32.Sputnik. Информацию, собранную из зараженных сетей, злоумышленники использовали в последующих своих атаках. Например, украденные учетные данные были собраны в специальный список и применялись, когда атакующим требовалось подобрать логины и пароли в других сетях. Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах (в основном, в Германии и России). Эти серверы представляют собой цепочку прокси-серверов и скрывают местоположение реального финального сервера, где собираются данные. Также вредоносная программа имеет механизм противодействия закрытию серверов управления, что позволяет хакерам восстановить доступ к зараженным системам, используя альтернативные каналы связи.

Кроме того, злоумышленники могли красть данные не только с сетевого оборудования, но и со смартфонов на всех основных платформах, а также с USB-дисков (включая ранее удаленные файлы, для чего использовалась собственная технология восстановления файлов). Хакеров интересовали документы с различными расширениями: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls и т.д.

Для заражения систем в организациях киберпреступники использовали фишинговые письма, адресованные конкретным сотрудникам той или иной организации. В состав письма входил специальный троян, для установки которого письма содержали эксплойты, использовавшие уязвимости в Microsoft Office.

Таким образом, экспертами "Лаборатории Касперского" был составлен список стран с наибольшим количеством заражений Backdoor.Win32.Sputnik. И как вы думаете, кто оказался на первом месте в списке? Правильно, Российская Федерация! В России было обнаружено 38 зараженных систем, тогда как в США и на Украине - всего шесть.

Всего в период со 2 ноября 2012 г. по 10 января 2013 г. было зафиксировано более 55 тысяч подключений с 250 зараженных IP-адресов, зарегистрированных в 39 странах.

На сегодняшний день не выявлено фактов, свидетельствующих о прямом участии в этой атаке какого-либо государства. Также пока остается неизвестным местоположение главного сервера шпионской сети. Однако известно, что используемые эксплойты изначально были созданы китайскими хакерами, а модули вредоносного ПО - русскоязычными специалистами.

Занятно, что в декабре 2012 г. основатель "Лаборатории Касперского" Евгений Касперский удостоился восьмого места в списке 15 самых опасных людей в мире, опубликованным порталом Wired.com. Это было вызвано тем, что в июле прошлого года между Евгением Касперским и американским журналом Wired случился публичный скандал. Корреспондент Ноа Шахтман, после семи месяцев интервьюирования предпринимателя, разговоров со многими сотрудниками "Лаборатории Касперского" и прочтения десятков публикаций о компании и ее основателе, написал статью с подробной биографией Касперского. В ней сообщалось, что предприниматель причастен к раскрытию кибератак и кибершпионажа США, направленных против ядерной программы Ирана, и что его компания является теневым подрядчиком ФСБ, врагом социальных сетей и на самом деле он скрытый агент Кремля. Евгений Касперский обвинил Ноа Шахтмана в непрофессионализме и написал в ответ на статью письмо, в котором указывал, что все крупные компании на рынке информационной безопасности сотрудничают с правоохранительными органами всего мира в области противодействия киберпреступности. Кроме того, ни одна IT-компания не стала бы молчать, обнаружив кибероружие, вне зависимости от природы его происхождения, подчеркивал в письме русский предприниматель.

"Лаборатория Касперского" продолжает расследование операции Red October, предоставляя техническую экспертизу и ресурсы для информирования и проведения мероприятий по лечению зараженных систем. Что еще тут скажешь? Мне кажется, эта тема достойна сценария к новому фильму о Джеймсе Бонде.