«Лаборатория Касперского» обнаружила шпионскую сеть «Красный октябрь»

Специалисты «Лаборатории Касперского» обнаружили невероятно масштабную компанию, направленную на выявление секретной информации правительственных, научных, дипломатических организаций в десятках стран мира. Самое большое количество атак совершалось на государства, ранее входившие в состав СССР, а также на страны Центральной Азии.

Еще в октябре «Лаборатория Касперского» начала проводить расследование нескольких хакерских атак в целом ряде дипломатических представительств. В процессе проведения исследования сотрудники российской компании выяснили, что имеют дело с разветвленной шпионской сетью, носящей название «Красный октябрь», причем преступники беспрепятственно совершали свои незаконные деяния на протяжении пяти лет, начиная с 2007 года.

Основными объектами кибер-атак стали правительственные и дипломатические структуры, однако нередки проникновения в компьютеры научно-исследовательских институтов, космических агентств, организаций, занимающихся вопросами энергетики, в том числе ядерной, торговых предприятий. Разработчики «Красного октября» создали свое вредоносное программное обеспечение, которое имеет уникальную архитектуру, включающую в себя расширения и модули, которые предназначены для кражи информации.

Специалисты назвали это ПО Backdoor.Win32.Sputnik. Для контроля над зараженными машинами, злоумышленники использовали свыше 60 доменных имен и множество серверов, большая часть которых располагалась в России и Германии. Для заражения компьютеров, преступники рассылали фишинговые письма, в состав каждого из которых входила троянская программа, устанавливающаяся с помощью содержащихся в письме эксплойтов.

Специалисты анализировали данные, полученные с облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, которые предназначены для выявления зараженных машин. В результате обработки данных было выяснено, что за период с 2 ноября 2012 года по 2 января 2013 совершено 55 тысяч кибер-атак с 250 IP-адресов, находящихся в 39 государствах.

Хакеры создали многофункциональную платформу, которая способна быстро подстраиваться под различные конфигурации и эффективно собирать информацию. Наиболее примечательным является то, что ПО имеет модуль восстановления, который способен «воскресить» удаленный или детектированный вредоносный файл. Помимо этого, программа способна инфицировать мобильные устройства, а также красть информацию с сетевого промышленного оборудования.

Данные, полученные «Лаборатории Касперского», дают специалистам полагать, что операция «Красный Октябрь» имеет русскоязычные корни. В настоящее время компания совместно с правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование, поставляя пострадавшим организациям ПО для лечения зараженных компьютеров.