ЛК: Red October – сложная двухэтапная кибератака

image

Теги: Лаборатория Касперского, отчет

Экспертам удалось достаточно подробно проанализировать масштабную кампанию по кибершпионажу.

Лаборатория Касперского представила отчет о масштабной кампании по кибершпионажу - Red October, которая осуществлялась злоумышленниками на протяжении последних пяти лет. Основными целями мошенников были дипломатические и правительственные ведомства, а также научные организации.

Эксперты анализировали анатомию атаки, график работы злоумышленников, географическое распределение жертв, информацию, полученную мошенниками методом sinkhole, а также работу C&C-серверов.

Для проведения подробного исследования было создано несколько подставных жертв по всему миру, что позволило наблюдать за работой модулей и инструментов, которые использовались в проведении кампании. Начало атаки сопровождалось отправкой фишинг-писем на адреса электронной почты потенциальных жертв. Сообщения содержали вложения в виде Excel- или Word-документа. После открытия документа вредоносные программы, содержащиеся в письме, осуществляли поиск уязвимостей на компьютере, впоследствии на системе запускались различные модули атаки.

Запуск модулей знаменовал начало второго этапа атаки, в рамках которого вредоносные программы удаляют все свои следы с атакованного компьютера для того, чтобы не быть обнаруженными.

Основными задачами организаторов кампании Red October было заражение подключаемых к инфицированному компьютеру USB-носителей информации, а также хищение информации, которая на них хранится. Помимо этого, вредоносные программы также заражали смартфоны iPhone или Nokia, которые подключались к компьютеру жертвы. В частности, мошенники похищали данные о телефоне, список контактов, историю вызовов, SMS-сообщения, а также историю посещения web-страниц. Вредонос фиксировал нажатие клавиш на зараженном компьютере и делал скриншоты, а также воровал сообщения электронной почты и вложения, которые содержались в сообщениях, отправленных посредством Microsoft Outlook.

Организаторы Red October собирали огромное количество информации о компьютерах, которые становились ботами. Мошенники получали доступ к общим данным о программном обеспечении и аппаратных средствах ПК, а также к информации файловой системы и сетевых ресурсов. Прежде всего, злоумышленников интересовала информация об установленном ПО таких производителей, как Oracle DB, RAdmin, IM Windows Mobile, Nokia, SonyEricsson, HTC и пр.

Помимо всего прочего, мошенники имели доступ к истории посещения web-страниц посредством браузеров Chrome, Firefox, Internet Explorer и Opera. Жертвы даже не подозревали о том, что все пароли для web-сайтов, FTP-серверов, учетных записей почтовых и IM-служб были доступны для организаторов Red October. 

Эксперты «Лаборатории Касперского» отмечают, что это первый случай, когда им удалось так подробно проанализировать масштабную кампанию кибершпионажа.


или введите имя

CAPTCHA
Ivan_Pomidorov
21-01-2013 10:02:24
Дядя Женя сдал земляков, трудившихся на благо отечества...эх.
0 |
R2D2
21-01-2013 12:14:54
Забили на проект. Неплохая вещь была, главное не поставленная на деньгу как прочие и тем самым так долго работающая, такое подозрение что авторы совсем потеряли к нему интерес, а хозяева сидели и до последнего выжимали из проекта. Или перешли на новый?... и не понять Дядя Женя это или не Дядя Женя.
0 |
Василий_Огурцов
21-01-2013 12:15:05
Дык дядя Женя с сотрудниками и потрудился над созданием сего творения. А сейчас оно стало больше не надобно.
0 |
Ворошек
24-01-2013 10:07:12
Основными целями мошенников были дипломатические и правительственные ведомства, а также научные организации Получается, что все эти, в теории неглупые, люди - виндовз-пользователи? Лицоладонь...
0 |