"Лаборатория Касперского" опубликовала отчет об исследовании масштабной кампании, проводимой 3 с целью шпионажа за дипломатическими, правительственными и научными организациями в различных странах мира. Об этом сообщает пресс-служба компании.
"Действия злоумышленников были направлены на получение конфиденциальной информации, данных открывающих доступ к компьютерным системам, персональным мобильным устройствам и корпоративным сетям, а также сбор сведений геополитического характера. Основной акцент атакующие сделали на республиках бывшего СССР, странах Восточной Европы, а также ряде государств в Центральной Азии", - говорится в сообщении.
В октябре 2012 года эксперты "Лаборатории Касперского" начали расследование серии атак на компьютерные сети международных дипломатических представительств. В процессе изучения этих инцидентов специалисты обнаружили масштабную кибершпионскую сеть. По итогам её анализа эксперты пришли к выводу, что операция под кодовым названием "Красный октябрь" началась еще в 2007 году и продолжается до сих пор.
"Основной целью киберпреступников стали дипломатические и правительственные структуры по всему миру. Однако среди жертв также встречаются научно-исследовательские институты, компании, занимающиеся вопросами энергетики, в том числе ядерной, космические агентства, а также торговые предприятия", - уточняют в компании.
Создатели "Красного октября" разработали собственное вредоносное ПО. Для контроля сети заражённых машин киберпреступники использовали более 60 доменных имён и серверы, расположенные в различных странах мира. При этом значительная их часть была расположена на территории Германии и России.
Преступники похищали из зараженных систем информацию, содержащуюся в файлах различных форматов. Среди прочих эксперты обнаружили файлы с расширением acid*, говорящих об их принадлежности к секретному программному обеспечению Acid Cryptofiler, которое используют ряд организаций, входящих в состав Европейского Союза и НАТО.
Для определения жертв кибершпионажа эксперты "Лаборатории Касперского", анализировали данные, полученные из двух основных источников: облачного сервиса Kaspersky Security Network (KSN) и sinkhole-серверов, предназначенных для наблюдения за инфицированными машинами, выходящими на связь с командными серверами.
Статистические данные KSN помогли обнаружить несколько сотен уникальных инфицированных компьютеров, большинство из которых принадлежали посольствам, консульствам, государственным организациям и научно-исследовательским институтам. Значительная часть зараженных систем была обнаружена в странах Восточной Европы.
Данные sinkhole-серверов были получены в период со 2 ноября 2012 года по 10 января 2013. За это время было зафиксировано более 55000 подключений с 250 заражённых IP-адресов, зарегистрированных в 39 странах. Большинство соединений, установленных с зараженных IP-адресов, были зафиксированы в Швейцарии, Казахстане и Греции.
"Регистрационные данные командных серверов и информация, содержащаяся в исполняемых фалах вредоносного ПО, дают все основания предполагать наличие у киберпреступников русскоязычных корней", - заявляют в компании.
"Лаборатория Касперского" совместно с международными организациями, правоохранительными органами и национальными Командами реагирования на компьютерные инциденты (Computer Emergency Response Teams, CERT) продолжает расследование операции. !zn
Читайте также:
Херсонский губернатор признался в организации хакерской атаки на сайт облгосадминистраци
Киевская милиция ищет главного борца с хакерами на зарплату 1,5 тыс. грн
Число кибератак в 2011 году выросло почти в два раза
США оставляют за собой право применять военную силу для борьбы с кибер-атаками