Эксперт «Лаборатории Касперского» рассказал подробности о раскрытии Red October

Эксперт «Лаборатории Касперского» рассказал подробности о раскрытии Red October

Виталий Камлюк рассказал подробности обнаружения и исследования крупнейшей шпионской сети Red October.

В январе текущего года широкий резонанс среди экспертов по информационной безопасности вызвала раскрытая российской компанией «Лаборатория Касперского» крупнейшая шпионская сеть Red October, на протяжении пяти лет занимающаяся хищением государственных секретов, о чем ранее сообщал SecurityLab. Ведущий эксперт компании Виталий Камлюк поделился с РИА Новости подробностями о том, как происходило исследование шпионской сети.

Как сообщил эксперт, все началось с того, что в октябре прошлого года в «Лабораторию Касперского» обратился один из ее зарубежных партнеров с просьбой проанализировать подозрительный файл, обнаруженный в их компьютерной сети. «Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией» - сообщил Камлюк.

Исследователи провели первичный анализ исполняемого файла, однако это ничего им не дало. Тем не менее, файл содержал в себе IP-адрес сервера в интернете, за что и «зацепились» эксперты.

С помощью специального программного обеспечения, эксперты создали виртуальную копию обычного компьютера и запустили на ней исполняемый файл, чтобы посмотреть, как он взаимодействует с сервером.

Вскоре в виртуальную систему были заброшены «первичные» модули, собиравшие и отсылавшие злоумышленникам информацию об установленных в ней программах, флэш-накопителях и мобильных устройствах, подключаемых к ней, и прочее, после чего, в зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи.

Как сообщил Камлюк, исследователи «ЛК» предположили, что модулей существует гораздо больше тех, что были загружены на виртуальный компьютер, поэтому они создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Это было именно то, что искали злоумышленники.

В виртуальную сеть несуществующей городской службы стали загружаться вредоносные модули под самые разные задачи. Тогда исследователи создали еще несколько подобных сетей, после чего получили более тысячи уникальных вредоносных файлов.

Сначала эксперты объяснили такое большое количество вредоносных программ тем, что они являются несколькими программами, но по-разному зашифрованными. Тем не менее, поскольку файлы сильно отличались по размерам, эксперты отказались от данного предположения.

Анализ обнаруженных файлов длился несколько недель, в результате чего исследователи выявили 34 различных вредоносных модуля, собирающих статистику, осуществляющих поиск информации, а также взламывающих сетевое оборудование, смартфоны на операционных системах Windows Mobile, iOS, Symbian и пр. Таким образом, исследователи определили анатомию, цели и масштабы Red October и пришли к единственно возможному выводу – «Красный октябрь» является крупнейшей шпионской операцией.

На компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Названия файлов подбирались таким образом, чтобы заинтересовавшийся пользователь обязательно его открыл. Заразив один компьютер, с помощью дополнительных модулей злоумышленники углублялись в атакуемую сеть.

Виталий Камлюк отметил, что промежуточный анализ собранных Red October данных проводили люди. Так, модули, используемые преступниками, были не всегда активны. В один день регистрировалась активность, а потом несколько дней ничего не происходило. Это значит, что злоумышленникам требовалось время на обработку данных.

По словам эксперта, штат высококвалифицированных специалистов, проводивших операцию, должен насчитывать около 20 человек. Авторы вредоносного ПО, использовавшегося при атаке, вообще не похожи на «обычных» вирусописателей, отмечает Камлюк. Поскольку в коде двух модулей были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычными. Происхождение преступников, а также их имена пока остаются неизвестными. 


Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!