Классный журнал

Евгений Касперский Евгений
Касперский

Охота за «Красным Октябрем»

19 апреля 2013 23:52
Без Касперского — никуда. И так уже сколько лет: чуть что, едва купил новенькую ЭВМ — сразу задумываешься об одноименном антивирусе. А сам Евгений Касперский не только думает о каждом из нас, но и думает о цифровом счастье и безмятежности глобального человечества. Грубо говоря, спасает мир. Дебютант «Русского пионера» Евгений Касперский просто, по-деловому, рассказывает, как он и его люди обезвредили шпионскую сеть.


Каким вы представляете себе современного разведчика? Высокий атлетичный мужчина в темном костюме и солнцезащитных очках, стреляющий с двух рук и умеющий управлять хоть самолетом, хоть поездом? Или джентльмен в смокинге, предпочитающий «водка-мартини»? Наконец, агент-нелегал, живущий в чужой стране под прикрытием?
Нет, нет и нет. Современный разведчик — это гик с всклокоченными волосами, держащий банку газировки, обложенный коробками из фастфуда и уставившийся в монитор с бегущими строчками кода. Такие ребята создают масштабные сети кибершпионажа, действующие в Интернете. Например, «Red October» — одну из первых шпионских киберсетей, распространившихся по всей планете.
Пять последних лет они шпионили за дипломатическими ведомствами, государственными структурами и научно-исследовательскими организациями разных стран мира. Кибер­шпионы собирали данные и секретную информацию с мобильных устройств, компьютеров и сетевого оборудования. Атака была нацелена на конкретные организации (в основном правительственные) в Восточной Европе, странах бывшего Советского Союза и Центральной Азии, а также Западной Европы и Северной Америки.
«Красный Октябрь» (в нашей лаборатории мы его сокращенно называли «Rocra») продолжает оставаться в активной фазе даже сейчас: украденные данные отсылаются на несколько серверов управления, конфигурация сети которых имеет чрезвычайно сложную инфраструктуру. Регистрационные данные, использованные при покупке доменных имен серверов, а также информация о датах создания файлов указывают на то, что эти атаки проводились еще в мае 2007 года.
Мы засекли Rocra в октябре 2012 года. Наш партнер сообщил об обнаружении подозрительного письма, пришедшего в их организацию. «Лаборатория» проанализировала внед­ренный код и стала внимательно изучать это новое семейство программ. Мы устроили целую охоту за вредоносными модулями, которые имели отношение к этому семейству. И очень скоро мы обнаружили колоссальные размеры этой кампании! Тогда я дал команду на полномасштабное расследование. И да, как и положено, шпионскую кампанию нужно было назвать. Мы окрестили зловреда «RedOctober». Во-первых, потому, что все это дело началось в октябре, во-вторых, в честь романа «TheHuntfortheRedOctober» Тома Клэнси.
Во время исследования наши аналитики обнаружили несколько интересных особенностей.

Злоумышленники создали многофункциональную платформу, которую можно было быстро и легко доработать под каждого конкретного пользователя. Мы видели такой подход и ранее, но что выделяет «Красный Октябрь» на фоне других шпионских кампаний, так это разнообразие и количество созданных атакующими модулей. Они, казалось, были на все случаи жизни шпиона.
Перед атакой хакеры детально анализировали свою жертву. Затем атакующий модуль настраивался в соответствии с полученной информацией. Например, инфицированные документы в электронной почте были созданы индивидуально и по темам, которые непременно заинтересуют жертву атаки. Обращение было именное, письмо не вызывало никаких подозрений. После проникновения «подстройка» продолжалась. Система детально анализировалась уже изнутри, загружались необходимые дополнительные модули для разных типов ОС, языков, устройств, сетей и т.д. Программа могла самораспространяться внутри сети по команде оператора. Это сделано для того, чтобы не привлекать внимание администраторов внезапно возникшей эпидемией.
Шпионская кампания управлялась через командные сервера. Зловреды получали от них задачи, выполняли их и посылали информацию обратно. Информация о самих задачах, как правило, сразу удалялась. Однако в некоторых случаях задачи были активны постоянно — например, когда программа ждала подключения к компьютеру мобильного телефона.
Наше расследование выявило более 1000 модулей, относящихся к 34 разным категориям. Самый последний из них был обнаружен 8 января 2013 года.
Основной целью хакеров были файлы, в которых есть секретные данные: дипломатическая почта и документы правительственных организаций. Например, мы обнаружили, что зловред специально ищет файлы с расширением «acid*». Это документы, зашифрованные программой AcidCryptofiler, которая обычно используется государственными структурами Евросоюза и НАТО.
Настолько сложная кампания требует серьезных ресурсов: команду разработчиков, специалистов поддержки и очень много времени. Я предполагаю, что около 20 человек работали над «Красным Октябрем» на ежедневной основе в течение пяти лет.
К сожалению, достоверно вычислить разработчиков невозможно. Однако исходный код содержит множество намеков на то, что к его написанию были причастны русскоязычные специалисты. Мы продолжаем наблюдение за этим вредоносом совместно с представителями CERT (ComputerEmergencyResponseTeams) разных стран. «Лаборатория» предоставляет техническую экспертизу для расследования и статистические данные детектирования зловредов.
Обнаружение многоуровневой шпионской сети говорит об одном: Интернет теперь — полноценная арена боевых действий. «Красный Октябрь», пожалуй, одна из самых серьезных и технически сложных шпионских программ, выявленных за последние годы. Разработать, а главное, поддерживать ее в рабочем состоянии не смогли бы ни активисты, ни кибермошенники. Пять лет работы, ручная настройка и солидное постоянное финансирование прямо говорят о причастности государства к разработке зловреда. Шпионаж существовал всегда, но теперь он перенесся на киберарену. А это значит, что любая, абсолютно любая компания, безотносительно происхождения или сферы деятельности, под ударом. Времена Бонда позади, теперь гики на сцене.
Звучит пугающе? Согласен, но я остаюсь оптимистом. И тому есть причины. Хакеры использовали давно известные уязвимости, которые к моменту атаки уже были устранены производителями софта и детектировались антивирусами. Мы предполагаем, что на инфицированных компьютерах не было вовремя обновлено ПО и отсутствовали антивирусы. Так что битва пока не проиграна.

Статью Евгения Касперского «Охота за «Красным Октябрем» можно прочитать в журнале "Русский пионер" №36
 
Читать все материалы автора.

"Русский пионер" уже в продаже. Все точки распространения в разделе "Журнальный киоск".
Оставить комментарий
 
Вам нужно войти, чтобы оставлять комментарии



Комментарии (2)

  • Виктор Шамиров в кино этот образ уже давно используется. олдскул, в общем.
    1
    •  
      Николай Чикишев Неплохой материал для нового сценария. Где наш колумнист Бондарчук?)
36 «Русский пионер» №36
(Май ‘2013 — Май 2013)
Тема: Евреи
Статьи по теме
Честное пионерское
Самое интересное
  • По популярности
  • По комментариям
 
Новое