ЛК: Red October – сложная двухэтапная кибератака

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 18 янв 2013.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.598
    Экспертам удалось достаточно подробно проанализировать масштабную кампанию по кибершпионажу.

    Лаборатория Касперского представила отчет о масштабной кампании по кибершпионажу - Red October, которая осуществлялась злоумышленниками на протяжении последних пяти лет. Основными целями мошенников были дипломатические и правительственные ведомства, а также научные организации.

    Эксперты анализировали анатомию атаки, график работы злоумышленников, географическое распределение жертв, информацию, полученную мошенниками методом sinkhole, а также работу C&C-серверов.

    Для проведения подробного исследования было создано несколько подставных жертв по всему миру, что позволило наблюдать за работой модулей и инструментов, которые использовались в проведении кампании. Начало атаки сопровождалось отправкой фишинг-писем на адреса электронной почты потенциальных жертв. Сообщения содержали вложения в виде Excel- или Word-документа. После открытия документа вредоносные программы, содержащиеся в письме, осуществляли поиск уязвимостей на компьютере, впоследствии на системе запускались различные модули атаки.

    Запуск модулей знаменовал начало второго этапа атаки, в рамках которого вредоносные программы удаляют все свои следы с атакованного компьютера для того, чтобы не быть обнаруженными.

    Основными задачами организаторов кампании Red October было заражение подключаемых к инфицированному компьютеру USB-носителей информации, а также хищение информации, которая на них хранится. Помимо этого, вредоносные программы также заражали смартфоны iPhone или Nokia, которые подключались к компьютеру жертвы. В частности, мошенники похищали данные о телефоне, список контактов, историю вызовов, SMS-сообщения, а также историю посещения web-страниц. Вредонос фиксировал нажатие клавиш на зараженном компьютере и делал скриншоты, а также воровал сообщения электронной почты и вложения, которые содержались в сообщениях, отправленных посредством Microsoft Outlook.

    Организаторы Red October собирали огромное количество информации о компьютерах, которые становились ботами. Мошенники получали доступ к общим данным о программном обеспечении и аппаратных средствах ПК, а также к информации файловой системы и сетевых ресурсов. Прежде всего, злоумышленников интересовала информация об установленном ПО таких производителей, как Oracle DB, RAdmin, IM Windows Mobile, Nokia, SonyEricsson, HTC и пр.

    Помимо всего прочего, мошенники имели доступ к истории посещения web-страниц посредством браузеров Chrome, Firefox, Internet Explorer и Opera. Жертвы даже не подозревали о том, что все пароли для web-сайтов, FTP-серверов, учетных записей почтовых и IM-служб были доступны для организаторов Red October.

    Эксперты «Лаборатории Касперского» отмечают, что это первый случай, когда им удалось так подробно проанализировать масштабную кампанию кибершпионажа.

    Подробно с отчетом компании можно ознакомиться здесь.

    Источник
     
    4 пользователям это понравилось.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    1 человеку нравится это.
  3. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Эксперт «Лаборатории Касперского» рассказал подробности о раскрытии Red October

    Виталий Камлюк рассказал подробности обнаружения и исследования крупнейшей шпионской сети Red October.

    В январе текущего года широкий резонанс среди экспертов по информационной безопасности вызвала раскрытая российской компанией «Лаборатория Касперского» крупнейшая шпионская сеть Red October, на протяжении пяти лет занимающаяся хищением государственных секретов. Ведущий эксперт компании Виталий Камлюк поделился подробностями о том, как происходило исследование шпионской сети.

    Как сообщил эксперт, все началось с того, что в октябре прошлого года в «Лабораторию Касперского» обратился один из ее зарубежных партнеров с просьбой проанализировать подозрительный файл, обнаруженный в их компьютерной сети. «Сами они в организации изначально думали, что эта целевая атака против них конкретно, но в итоге оказалось, что список жертв не ограничивается одной организацией» - сообщил Камлюк.

    Исследователи провели первичный анализ исполняемого файла, однако это ничего им не дало. Тем не менее, файл содержал в себе IP-адрес сервера в интернете, за что и «зацепились» эксперты.

    С помощью специального программного обеспечения, эксперты создали виртуальную копию обычного компьютера и запустили на ней исполняемый файл, чтобы посмотреть, как он взаимодействует с сервером.

    Вскоре в виртуальную систему были заброшены «первичные» модули, собиравшие и отсылавшие злоумышленникам информацию об установленных в ней программах, флэш-накопителях и мобильных устройствах, подключаемых к ней, и прочее, после чего, в зависимости от результата, на компьютер забрасывались новые вредоносные модули под более узкие задачи.

    Как сообщил Камлюк, исследователи «ЛК» предположили, что модулей существует гораздо больше тех, что были загружены на виртуальный компьютер, поэтому они создали виртуальную сеть компьютеров, якобы принадлежащую администрации некоей городской службы. Это было именно то, что искали злоумышленники.

    В виртуальную сеть несуществующей городской службы стали загружаться вредоносные модули под самые разные задачи. Тогда исследователи создали еще несколько подобных сетей, после чего получили более тысячи уникальных вредоносных файлов.

    Сначала эксперты объяснили такое большое количество вредоносных программ тем, что они являются несколькими программами, но по-разному зашифрованными. Тем не менее, поскольку файлы сильно отличались по размерам, эксперты отказались от данного предположения.

    Анализ обнаруженных файлов длился несколько недель, в результате чего исследователи выявили 34 различных вредоносных модуля, собирающих статистику, осуществляющих поиск информации, а также взламывающих сетевое оборудование, смартфоны на операционных системах Windows Mobile, iOS, Symbian и пр. Таким образом, исследователи определили анатомию, цели и масштабы Red October и пришли к единственно возможному выводу – «Красный октябрь» является крупнейшей шпионской операцией.

    На компьютер жертвы посылался файл Word или таблица Excel с внедренным вредоносным кодом, который исполнялся как только пользователь открывал такой файл. Названия файлов подбирались таким образом, чтобы заинтересовавшийся пользователь обязательно его открыл. Заразив один компьютер, с помощью дополнительных модулей злоумышленники углублялись в атакуемую сеть.

    Виталий Камлюк отметил, что промежуточный анализ собранных Red October данных проводили люди. Так, модули, используемые преступниками, были не всегда активны. В один день регистрировалась активность, а потом несколько дней ничего не происходило. Это значит, что злоумышленникам требовалось время на обработку данных.

    По словам эксперта, штат высококвалифицированных специалистов, проводивших операцию, должен насчитывать около 20 человек. Авторы вредоносного ПО, использовавшегося при атаке, вообще не похожи на «обычных» вирусописателей, отмечает Камлюк. Поскольку в коде двух модулей были обнаружены слова Proga и Zakladka, эксперты сделали вывод, что специалисты являются русскоязычными. Происхождение преступников, а также их имена пока остаются неизвестными.



    источник
     
    3 пользователям это понравилось.

Поделиться этой страницей