«Красный октябрь» — сложная двухэтапная кибератака

Posted: Январь 20, 2013 in Военные технологии, Интернет, Компьютеры

Red October

Экспертам удалось достаточно подробно проанализировать масштабную кампанию по кибершпионажу «Red october».

Лаборатория Касперского представила отчет о масштабной кампании по кибершпионажу — Red October, которая осуществлялась злоумышленниками на протяжении последних пяти лет. Основными целями мошенников были дипломатические и правительственные ведомства, а также научные организации.

Эксперты анализировали анатомию атаки, график работы злоумышленников, географическое распределение жертв, информацию, полученную мошенниками методом sinkhole, а также работу C&C-серверов.

Для проведения подробного исследования было создано несколько подставных жертв по всему миру, что позволило наблюдать за работой модулей и инструментов, которые использовались в проведении кампании. Начало атаки сопровождалось отправкой фишинг-писем на адреса электронной почты потенциальных жертв. Сообщения содержали вложения в виде Excel- или Word-документа. После открытия документа вредоносные программы, содержащиеся в письме, осуществляли поиск уязвимостей на компьютере, впоследствии на системе запускались различные модули атаки.

Запуск модулей знаменовал начало второго этапа атаки, в рамках которого вредоносные программы удаляют все свои следы с атакованного компьютера для того, чтобы не быть обнаруженными.

Основными задачами организаторов кампании Red October было заражение подключаемых к инфицированному компьютеру USB-носителей информации, а также хищение информации, которая на них хранится. Помимо этого, вредоносные программы также заражали смартфоны iPhone или Nokia, которые подключались к компьютеру жертвы. В частности, мошенники похищали данные о телефоне, список контактов, историю вызовов, SMS-сообщения, а также историю посещения web-страниц. Вредонос фиксировал нажатие клавиш на зараженном компьютере и делал скриншоты, а также воровал сообщения электронной почты и вложения, которые содержались в сообщениях, отправленных посредством Microsoft Outlook.

Организаторы Red October собирали огромное количество информации о компьютерах, которые становились ботами. Мошенники получали доступ к общим данным о программном обеспечении и аппаратных средствах ПК, а также к информации файловой системы и сетевых ресурсов. Прежде всего, злоумышленников интересовала информация об установленном ПО таких производителей, как Oracle DB, RAdmin, IM Windows Mobile, Nokia, SonyEricsson, HTC и пр.

Помимо всего прочего, мошенники имели доступ к истории посещения web-страниц посредством браузеров Chrome, Firefox, Internet Explorer и Opera. Жертвы даже не подозревали о том, что все пароли для web-сайтов, FTP-серверов, учетных записей почтовых и IM-служб были доступны для организаторов Red October.

Эксперты «Лаборатории Касперского» отмечают, что это первый случай, когда им удалось так подробно проанализировать масштабную кампанию кибершпионажа.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s