Мы уже привыкли к кибератакам, взломам сетей и компьютеров, поэтому сегодня удивить обывателя кражей каких-то данных почти невозможно. Тем не менее начало 2013 г. ознаменовалось новым всплеском интереса к кибершпионажу и даже некоторым испугом, когда стало известно о масштабной операции в киберпространстве, которая проводилась с целью слежения за дипломатическими, правительственными и научными организациями в различных странах мира. Действия злоумышленников были направлены на сбор сведений геополитического характера и на получение конфиденциальной информации и данных, открывающих доступ к компьютерным системам, мобильным устройствам и корпоративным сетям. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы и ряде государств Центральной Азии.
Как это часто бывает, о многих тайных операциях становится известно совершенно случайно. В октябре 2012 г. «Лаборатория Касперского» по просьбе одного из партнеров начала исследование очередной серии атак и вредоносных файлов. И оказалось, что на протяжении нескольких лет против дипломатических ведомств и государственных структур многих стран с необычайным размахом велся кибершпионаж, собирались данные и секретная информация с мобильных устройств, компьютеров и сетевого оборудования атакованных организаций. В процессе изучения инцидентов специалисты «Лаборатории Касперского» обнаружили кибершпионскую сеть. По итогам анализа ее деятельности, эксперты пришли к выводу, что операция, получившая кодовое название «Красный Октябрь», началась еще в 2007 г. и продолжается до сих пор. В ходе этой шпионской акции по всему миру были атакованы сотни организаций, относящихся к следующим категориям:
- правительственные структуры;
- дипломатические ведомства/посольства;
- исследовательские институты;
- торговые и коммерческие структуры;
- ядерные/энергетические исследования;
- нефтяные и газовые компании;
- аэрокосмическая отрасль;
- военные ведомства и компании, связанные с созданием вооружений.
Вполне возможно, что существуют и другие категории предприятий-мишеней, которые еще не выявлены или были атакованы в прошлом.
Создатели «Красного Октября» разработали собственное ПО, имеющее уникальную архитектуру, состоящую из вредоносных модулей, предназначенных для кражи информации. Известно также несколько модулей, которые созданы для кражи данных с нескольких типов устройств, работающих на платформах Windows Mobile, iPhone, Nokia. Эти модули устанавливаются в систему и ожидают подключения к ней мобильного устройства. После подключения модули начинают сбор данных с мобильных телефонов. Кроме того, возможен сбор информации с сетевого оборудования и накопителей USB. Возможно, существуют модули для устройств на базе Android или телефонов BlackBerry.
Аналитики «Лаборатории Касперского» выявили несколько сотен заражений по всему миру, причем все жертвы относятся к организациям высокого ранга, таким, например, как правительственные сети и дипломатические структуры. Заражения были в основном в Восточной Европе и странах бывшего СССР, однако есть жертвы в Средней Азии, Северной Америке и в странах Западной Европы, например в Люксембурге и Швейцарии. По данным на начало года, наибольшее число заражений пришлось на Россию (выявлено 38 случаев), Казахстан (21), Азербайджан (15), Бельгию (15) и Индию (14).
Кто же является заказчиком и разработчиком «Красного Октября»? В «Лаборатории Касперского» сообщили, что информация, которой они располагают, не дает возможности установить источник атаки, однако стало известно два важных факта:
- Используемые эксплойты изначально были созданы китайскими хакерами.
- Вредоносные модули Red October созданы русскоязычными специалистами. На это косвенно указывает то, что в программных модулях используется слово PROGA, что, возможно, является транслитерацией русского слова ПРОГА, которое на жаргоне русскоговорящих программистов означает буквально приложение или программу. Кроме того, в текстах программ обнаружено слово «zakladka», имеющее два значения в русском языке. Одно из них — это специфический термин в отношении скрытого функционала в программе или устройстве. Так же можно назвать микрофон, спрятанный в стене посольства.
На сегодня нет сведений, позволяющих утверждать о прямом участии в атаках каких-либо государств. Что же все-таки искали и воровали киберзлодеи? Основной целью операции, как представляется, является сбор секретной информации и геополитических данных, хотя, по-видимому, информация собиралась и собирается достаточно разнообразная. За последние пять лет атакующие украли данные у сотен организаций высокого ранга, и неизвестно, как эта информация использовалась. Похищенные данные являются конфиденциальными и включают в себя, в частности, различные геополитические сведения, которые могут быть использованы на государственном уровне. Такую информацию можно выставить на торги на «черном рынке» и продать любому, кто предложит наиболее высокую цену.
Следует добавить, что информация, собранная из зараженных сетей, использовалась в последующих атаках. Например, украденные учетные данные собирались в специальный список и использовались, когда атакующим требовалось подобрать логины и пароли в других сетях. Для контроля и управления сетью зараженных систем атакующие создали более 60 различных доменных имен и несколько серверов, размещенных в разных странах, в основном в Германии и России.
По мнению специалистов компании Safensoft, сеть «Красный Октябрь» — не единственная. Не исключено, что существуют более масштабные и изощренные системы. Одно можно сказать определенно: интерес злоумышленников перестал быть просто финансовым, имеются факты, подтверждающие, что теперь основной целью атак стали промышленные, оборонные, энергетические объекты, а это уже гораздо более серьезные угрозы. Необходимо менять подходы к обеспечению безопасного функционирования ИС. Впрочем, надо признать, что оградить себя от всех атак невозможно, а значит, обеспечение работоспособности ИС является сейчас наиболее продуктивным и перспективным методом защиты.
