Лабораторія касперського розкрила мережу кібершпіонажу

Мережа отримала назву Operation Red October (скорочено ldquo-Rocrardquo-). Вона діє як мінімум з травня 2007 року, ретельно вибираючи собі жертви приблизно з двох дюжин країн. Її жертви займають посади в урядах, на військовій службі, в аерокосмічних галузях, в дослідницьких областях, в торгівлі і комерції, в ядерній сфері, в нафтовій промисловості і в інших подібних областях.

Відео: -лабораторія Касперского- розкрила шпигунську мережу

Дослідники не знають, хто стоїть за цією кампанією. Хоча вважається, що використані в її рамках експлоїти створили китайські хакерами. У той же час різні впроваджені шкідливі модулі, схоже, створені російськими.

В даний час Лабораторія Касперського не може встановити джерело цієї операції, тому що він працює як мінімум через два шари проксі-серверів в Росії, Німеччині та Австрії. Іншими словами, місце розташування основного командного і керуючого сервера (названого "mothership" CC) залишається невідомим.

Відео: Весті.net. кібератака на Лабораторію Касперського

Хто б не створив цю кампанію, її оператори точно знають, що роблять, адже їм вдавалося таємно підглядати за системами основних урядів і індустрій всього світу протягом шести років. За цей час для інфікування цілей за допомогою фішингових схем вони використовували як мінімум два різних експлойтів в Microsoft Word і один в Excel. Зламавши систему, атакуючі збирали цінні дані, для чого використовували ряд постійних і ряд разових завдань, що проводяться через тисячі модулів (шкідливих файлів).

До прикладів таких завдань можна віднести крадіжку інформації з USB-носіїв (навіть віддалених файлів), відстеження і запис натискає клавішу, зняття скріншотів, витяг листів з Outlook і поштових серверів, збір інформації про переглядах в Мережі і збережених паролів, сканування мереж в спробах пошуку потенційних жертв і т.п. Крім відсутності точних відомостей про творців цієї кампанії, не ясно також і те, що вони робили з усією отриманою інформацією. Можливо, вони продають її на чорному ринку.

За даними Лабораторії Касперського, зараз по всьому світу виявлено кілька сотень інфікованих комп`ютерів. Найбільше їх в Росії, в Казахстані і в Азербайджані. Для контролю мережі інфікованих машин атакуючі створили більше 60 доменних імен і кілька серверів в різних країнах (в основному в Німеччині і в Росії). Інфраструктура контролю і управління в дійсності є мережею серверів, що працюють як проксі, і що приховують місце розташування основного командного сервера.

Також варто відзначити, що атакуючі можуть красти інформацію і з мобільних платформ, включаючи Windows Mobile, iPhone і Nokia. Нарешті, кампанія все ще активна і все ще відсилає дані зі своїх жертв на свої командні сервери.