Эксперт «Лаборатории Касперского» рассказал подробности о раскрытии Red October

image

Теги: Лаборатория Касперского, шпионаж

Виталий Камлюк рассказал подробности обнаружения и исследования крупнейшей шпионской сети Red October.

В январе текущего года широкий резонанс среди экспертов по информационной безопасности вызвала раскрытая российской компанией «Лаборатория Касперского» крупнейшая шпионская сеть Red October, на протяжении пяти лет занимающаяся хищением государственных секретов, о чем ранее сообщал SecurityLab. Ведущий эксперт компании Виталий Камлюк поделился с РИА Новости подробностями о том, как происходило исследование шпионской сети.

Как сообщил эксперт, все началось с того, что в октябре прошлого года в «Лабораторию Касперского» обратился один из ее зарубежных партнеров с просьбой проанализировать подозрительный файл, обнаруженный в их компьютерной сети. «Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией» - сообщил Камлюк.

Исследователи провели первичный анализ исполняемого файла, однако это ничего им не дало. Тем не менее, файл содержал в себе IP-адрес сервера в интернете, за что и «зацепились» эксперты.

С помощью специального программного обеспечения, эксперты создали виртуальную копию обычного компьютера и запустили на ней исполняемый файл, чтобы посмотреть, как он взаимодействует с сервером.

Вскоре в виртуальную систему были заброшены «первичные» модули, собиравшие и отсылавшие злоумышленникам информацию об установленных в ней программах, флэш-накопителях и мобильных устройствах, подключаемых к ней, и прочее, после чего, в зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи.

Как сообщил Камлюк, исследователи «ЛК» предположили, что модулей существует гораздо больше тех, что были загружены на виртуальный компьютер, поэтому они создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Это было именно то, что искали злоумышленники.

В виртуальную сеть несуществующей городской службы стали загружаться вредоносные модули под самые разные задачи. Тогда исследователи создали еще несколько подобных сетей, после чего получили более тысячи уникальных вредоносных файлов.

Сначала эксперты объяснили такое большое количество вредоносных программ тем, что они являются несколькими программами, но по-разному зашифрованными. Тем не менее, поскольку файлы сильно отличались по размерам, эксперты отказались от данного предположения.

Анализ обнаруженных файлов длился несколько недель, в результате чего исследователи выявили 34 различных вредоносных модуля, собирающих статистику, осуществляющих поиск информации, а также взламывающих сетевое оборудование, смартфоны на операционных системах Windows Mobile, iOS, Symbian и пр. Таким образом, исследователи определили анатомию, цели и масштабы Red October и пришли к единственно возможному выводу – «Красный октябрь» является крупнейшей шпионской операцией.

На компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Названия файлов подбирались таким образом, чтобы заинтересовавшийся пользователь обязательно его открыл. Заразив один компьютер, с помощью дополнительных модулей злоумышленники углублялись в атакуемую сеть.

Виталий Камлюк отметил, что промежуточный анализ собранных Red October данных проводили люди. Так, модули, используемые преступниками, были не всегда активны. В один день регистрировалась активность, а потом несколько дней ничего не происходило. Это значит, что злоумышленникам требовалось время на обработку данных.

По словам эксперта, штат высококвалифицированных специалистов, проводивших операцию, должен насчитывать около 20 человек. Авторы вредоносного ПО, использовавшегося при атаке, вообще не похожи на «обычных» вирусописателей, отмечает Камлюк. Поскольку в коде двух модулей были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычными. Происхождение преступников, а также их имена пока остаются неизвестными. 



или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Андропов
01-02-2013 16:05:13
Кровавая гэбня не дремлет!
0 |
умникус
09-02-2013 18:14:27
Фсбшная и моссадовская то?
0 |
Юрий
01-02-2013 16:32:42
Занятненько
0 |
01-02-2013 16:57:46
Что за виртуальные машины он использовали эксперты ЛК, что их прога (КО) не запалила засаду? Простые виртуалки ловятся по процессам и наличию определенных файлов в ОС.
0 |
Гость
01-02-2013 17:00:53
Вообще-то им ничего не мешает иметь собственную виртуальную среду под именно эти задачи. А во-вторых, чтобы отследить сетевую активность и внесенные изменения в систему вообще виртуальная среда не нужна.
0 |
Гость
01-02-2013 16:57:59
Поскольку в коде двух модулей были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычнымиНа заборе тоже что-то написано. Если это не продукт остро нуждающихся в самоутвержении тинэнджеров, то это ровным счетом ни о чем не говорит
0 |
j8
01-02-2013 18:51:25
Ви таки считаете, что госдеп?
0 |
Гость (другой)
04-02-2013 09:37:00
Не обязательно. Может это провокация массада. Ибо неадекватов, способных оставить в "государственном" трояне строку "zakladka", надо ещё поискать.
0 |
space
12-02-2013 05:54:48
Я то же подумал аналогичным образом. Выводы странные делают. Я без намёков, но вспомните кнопку с надписью "peregruzka". Кто угодно мог такую лажу специально для лохов оставить.
0 |
01-02-2013 22:31:28
были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычнымину это же бред....Россию просто хотят сделать как всегда крайней(((
0 |
Страницы: 1  2  3  4