«Лаборатория Касперского» раскрыла шпионскую сеть

«Лаборатория Касперского» обнаружила шпионскую сеть, организаторы которой следят за дипломатическими, правительственными и научными организациями в различных странах. Об этом говорится в сообщении компании.

Сеть, используемая для кибершпионажа, носит кодовое название «Red October» («Красный октябрь»). Первая часть «исследования операции 'Red October'» опубликована на сайте лаборатории 14 января. Анонсирована также вторая часть, «содержащая детальный технический анализ всех известных модулей», которая должна выйти в течение нескольких дней.

«Первые данные к нам поступили в октябре 2012 года. Один из наших партнеров прислал подозрительный зараженный вредоносный файл, который мы проанализировали и быстро поняли, что эта атака достаточно высокопрофильная и интересная. По тому набору файлов, который интересует атакующих, было понятно, что они заинтересованы в документах, – рассказал ведущий антивирусный эксперт «Лаборатории Касперского» Виталий Камлюк. – По списку жертв понятно, что их интересуют какие-то профильные организации, посольства, как правило, Восточной Европы. Мы также видели, что были заражены и ряд компаний из киноиндустрии, нефтедобывающей и аэрокосмической отраслей».

«Были заражены исследовательские институты. Соответственно, их интересовал еще и формат, касающийся современных научных исследований, – сообщил эксперт. – Что отличает эту программу от других, которые мы видели, это, пожалуй, то, что в данном случае первый раз видим массивную разработку с таким количеством вредоносного кода. И тут прослеживается след русскоговорящих разработчиков. Это уникально, потому что мы до сих пор не встречали такого».

Злоумышленникам, по данным экспертов, удалось осуществить десятки успешных атак, похитить терабайты данных и при этом остаться фактически незамеченными большинством жертв. Вирус, имеющий не менее 30 различных модулей, получил от «Лаборатории Касперского» условное обозначение Backdoor.Win32.Sputnik. Он похищает документы с различными расширениями - от простого txt до acid – это расширение принадлежит секретному программному обеспечению для шифрования «Acid Cryptofiler», которое используется в структурах Евросоюза и НАТО.

«Информация, украденная атакующими, очевидно является крайне конфиденциальной и включает в себя, в частности, различные геополитические данные, которые могут быть использованы на государственном уровне», – отмечается в отчете.

Эксперты отмечают, что некоторые модули содержат «забавные» ошибки, указывающие на русскоязычных разработчиков вредоносной программы. В частности, в скриптах использованы слова «PROGA» и «zakladka», которые, очевидно, являются транслитерацией русских слов.

Для контроля сети зараженных машин киберпреступники использовали более 60 доменных имен и серверы, расположенные в различных странах. При этом значительная их часть была расположена на территории Германии и России.