"Лабораторія Касперського" опублікувала звіт про дослідження масштабної кампанії, проведеної 3 з метою шпигунства за дипломатичними, урядовими та науковими організаціями в різних країнах світу. Про це повідомляє прес-служба компанії.
"Дії зловмисників були спрямовані на отримання конфіденційної інформації, даних що відкривають доступ до комп'ютерних систем, персональних мобільних пристроїв і корпоративних мереж, а також збір відомостей геополітичного характеру. Основний акцент атакуючі зробили на республіках колишнього СРСР, країнах Східної Європи, а також низці держав Центральної Азії", - говориться в повідомленні.
У жовтні 2012 року експерти "Лабораторії Касперського" почали розслідування серії атак на комп'ютерні мережі міжнародних дипломатичних представництв. В процесі вивчення цих інцидентів фахівці виявили масштабну кибершпионскую мережу. За підсумками її аналізу експерти прийшли до висновку, що операція під кодовою назвою "Червоний жовтень" почалася ще в 2007 році і триває досі.
"Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу. Однак серед жертв також зустрічаються науково-дослідницькі інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства", - уточнюють у компанії.
Творці "Червоного жовтня" розробили власне шкідливе ПЗ. Для контролю мережі заражених машин кіберзлочинці використовували понад 60 доменних імен і сервери, розташовані в різних країнах світу. При цьому значна їх частина була розташована на території Німеччини і Росії.
Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid*, що говорить про їх приналежність до секретного програмного забезпечення Acid Cryptofiler, яке використовують ряд організацій, що входять до складу Європейського Союзу і НАТО.
Для визначення жертв кібершпигунства експерти "Лабораторії Касперського", аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначених для спостереження за інфікованими машинами, що виходять на зв'язок з командними серверами.
Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп'ютерів, більшість з яких належали посольствам, консульствам, державним організаціям і науково-дослідницьким інститутам. Значна частина заражених систем була виявлена в країнах Східної Європи.
Дані sinkhole-серверів були отримані в період з 2 листопада 2012 року по 10 січня 2013. За цей час було зафіксовано більше 55000 підключень з 250 заражених IP-адреси, зареєстрованих в 39 країнах. Більшість з'єднань, встановлених із заражених IP-адреси, були зафіксовані в Швейцарії, Казахстані та Греції.
"Реєстраційні дані командних серверів та інформація, що міститься в виконуваних файлах шкідливого ПО, дають всі підстави припускати наявність у кіберзлочинців російськомовних корінь", - заявляють у компанії.
"Лабораторія Касперського" спільно з міжнародними організаціями, правоохоронними органами і національними Командами реагування на комп'ютерні інциденти (Computer Emergency Response Teams, CERT) продовжує розслідування операції. !zn
Читайте також:
Херсонський губернатор зізнався в організації хакерської атаки на сайт облдержадміністрації
Київська міліція шукає головного борця з хакерами на зарплату 1,5 тис. грн
Кількість кібератак в 2011 році зросла майже вдвічі
США залишають за собою право застосовувати військову силу для боротьби з кібер-атаками