В создании международной шпионской сети подозревают россиян
Расследование атак на компьютерные сети международных дипломатических представительств эксперты "Лаборатории" начали в октябре прошлого года по заказу своего партнера, который "предпочитает оставаться анонимным". Как оказалось, целью преступников стали не только дипломатические и правительственные структуры по всему миру, но и компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, научно-исследовательские институты.
В операции под кодовым названием "Красный октябрь", которая началась еще в 2007 г. и продолжается до сих пор, киберпреступники использовали уникальную модульную архитектуру, состоящую из вредоносных расширений. В антивирусной базе "Лаборатории Касперского" она имеет название Backdoor.Win32.Sputnik.
"Для заражения систем преступники рассылали фишинговые письма, адресованные конкретным получателям в той или иной организации. В состав письма входила специальная троянская программа, для установки которой письма содержали эксплойты, использовавшие уязвимости в Microsoft Office. Эти эксплойты были созданы сторонними злоумышленниками и ранее использовались в различных кибератаках, нацеленных как на тибетских активистов, так и на военный и энергетический секторы ряда государств азиатского региона", - говорится в отчете "Лаборатории".
В итоге хакеры похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Эксперты "Лаборатории Касперского" обнаружили среди прочих файлы с расширением acid*, что говорит об их принадлежности к секретному программному обеспечению Acid Cryptofiler, использующемуся рядом организаций, входящих в состав стран Евросоюза и НАТО.
Для контроля сети зараженных систем преступники использовали более 60 доменных имен и серверы, расположенные в различных странах мира, по большей части в Германии и России. При это ряд моментов позволяет говорить о российском происхождении злоумышленников. Так, несколько файлов содержат в себе русские слова, написанные латиницей, например, "zakladka" или сленговое "proga". Однако однозначно заявить о том, какой страной были организованы атаки, нельзя.
"Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне. Такая информация может быть выставлена на торги на "черном рынке" и продана любому, кто предложит наиболее высокую цену", - отмечают эксперты.