НА ЧИСТУ ВОДУ

Програмісти виявили  кібермережу, що «підглядає» за урядовими організаціями 

Днями  «Лабораторія Касперського» опублікувала звіт про дослідження масштабної кампанії, яку проводять кіберзлочинці, щоб шпигувати за дипломатичними, урядовими та науковими організаціями у різних країнах.

Як зазначено в оприлюдненому прес-службою  компанії документі, дії зловмисників були спрямовані на отримання конфіденційної інформації, даних, що відкривають доступ до комп’ютерних систем, персональних мобільних пристроїв і корпоративних мереж, а також збирання відомостей геополітичного характеру. Основний акцент атакуючі зробили на республіках колишнього СРСР, країнах Східної Європи, а також деяких державах Центральної Азії.

Зокрема, розслідування серії атак на комп’ютерні мережі міжнародних дипломатичних представництв експерти «Лабораторії Касперського» розпочали торік у жовтні. У процесі вивчення цих інцидентів фахівці виявили масштабну кібершпигунську мережу. За підсумками її аналізу експерти дійшли висновку, що операція з кодовою назвою «Червоний жовтень» почалася ще в 2007 році й триває досі.

Головною  метою кіберзлочинців стали дипломатичні та урядові структури в усьому світі. Однак серед жертв бувають науково-дослідні інститути, компанії, що займаються енергетичними питаннями, передовсім  ядерними, космічні агентства, а також торговельні підприємства, уточнюють у лабораторії.

Творці «Червоного жовтня»  нібито розробили власне шкідливе програмне забезпечення. Для контролю мережі заражених машин кіберзлочинці використали понад 60 доменних імен і сервери, розташовані в різних країнах.

Схема діяльності була приблизно така: злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням, що засвідчує їхню належність до секретного програмного забезпечення Acid Cryptofiler, яке використовують деякі організації, що входять до складу Європейського Союзу і НАТО.

Для визначення жертв кібершпигунства експерти «Лабораторії Касперського» аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв’язок із командними серверами.

Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп’ютерів, більшість із яких належали посольствам, консульствам, державним організаціям і науково-дослідним інститутам.

Дані sinkhole-серверів було отримано в період з 2 листопада 2012 року по 10 січня 2013-го. За цей час було зафіксовано понад 55 000 підключень із 250 заражених IP-адрес, зареєстрованих у 39 країнах. Більшість з’єднань, встановлених із заражених IP-адрес, були зафіксовані у Швейцарії, Казахстані та Греції.

«Реєстраційні дані ко?мандних серверів та інформація, що міститься у виконуваних файлах шкідливого програмного забезпечення, дають усі підстави передбачати наявність у кіберзлочинців російськомовного коріння», — заявляють у компанії. Нині «Лабораторія» спільно з міжнародними організаціями, правоохоронними органами і національними командами реагування на комп’ютерні інциденти продовжує розслідування операції, а експерти вже не сумніваються у швидкій появі нового продукту відомих розробників, приміром «Антишпигун-2013».

ДОВІДКА «УК»

«Лабораторія Касперського» — міжнародна група компаній із центральним офісом у Москві, що спеціалізується на розробленні програмного забезпечення. Це найбільший у Європі виробник систем захисту від шкідливого і небажаного програмного забезпечення, хакерських атак і спаму. Компанія входить до четвірки провідних світових виробників програмних рішень для гарантування інформаційної безпеки.