„Лабораторија Касперског“ против „Црвеног октобра“

„Лабораторија Касперског“ је установила да је операција „Црвени октобар“ започета још 2007. и да још увек траје. На фотографији: Јевгениј Касперски. Извор: ИТАР-ТАСС.

„Лабораторија Касперског“ је установила да је операција „Црвени октобар“ започета још 2007. и да још увек траје. На фотографији: Јевгениј Касперски. Извор: ИТАР-ТАСС.

„Лабораторија Касперског“ је открила шпијунску мрежу чији организатори прате дипломатске, владине и научне организације у разним земљама, речено је у саопштењу компаније. Мрежа је добила кодни назив „Црвени октобар“. Могуће је да су у њено стварање умешани програмери који говоре руски.

Деловање сајбер-криминалаца било је усмерено на добијање поверљивих информација и података помоћу којих се омогућава приступ рачунарским системима, приватним мобилним уређајима и корпоративним мрежама, као и на прикупљање података геополитичког карактера. Нападаче је највише интересовала Русија, као и земље Источне Европе и низ држава Централне Азије.

У октобру 2012. су експерти „Лабораторије Касперског“ почели да истражују серију напада на рачунарске мреже међународних дипломатских представништава. У току проучавања тих инцидената стручњаци су открили велику шпијунску сајбер-мрежу. Анализом су установили да је операција „Црвени октобар“ започета још 2007. и да још увек траје.

Коментар „Руске речи“

„Руска реч“ жели да истакне чињеницу - која се не среће баш често у текстовима овакве врсте - да се апсолутна већина оваквих проблема може избећи на врло једноставан начин: не користите Microsoft Windows.

„Наше истраживање је почело када смо добили фајлове од нашег партнера, који је желео да остане анониман. Врло брзо смо схватили да имамо посла са једном од најбоље организованих мрежа сајбер-шпијунаже коју смо до сада срели“, рекао је за CNews водећи експерт „Лабораторије Касперског“ Виталиј Камљук. „Број и разноврсност малициозних кодова у тој кампањи су просто невероватни – забележено је преко 1000 јединствених фајлова и 34 типа различитих модула. Поред тога, претпостављамо да нам је доступан само део материјала и да је мрежа реално далеко већа и шира.“

Аналитичари лабораторије су израчунали да су нападачи за пет година заразили око три стотине рачунара и мобилних уређаја, и украли стотине терабајта података, користећи преко 60 доменских имена. Ти домени су, према подацима експерата, били размештени на прокси-серверима (серверима који маскирају порекло иницијатора комуникације), првенствено са руским и немачким IP-адресама. Није познато где се налази главни сервер.

За протеклих пет година шпијунски сајбер-напади су еволуирали од спорадичних напада који су користили конкретну рањивост до система индустријских размера.

Руске речи и жаргонизми у тексту модула ових вируса упућују на претпоставку да су њихов код писали програмери који говоре руски.

Функционери и дипломате нису били једина мета преступника. Инфицирани су рачунари и у научним, трговинским и војним организацијама, у компанијама нуклеарног, нафтно-гасног и аеро-космичког сектора. Криминалци су са инфицираних система извлачили информације које садрже фајлови разних формата. Између осталог, експерти су открили и фајлове са екстензијом acid*, а такве фајлове генерише тајни софтвер Acid Cryptofiler који се користи у низу организација Европске уније и НАТО-а. Докле год траје истрага „Касперски“ неће откривати из којих конкретних структура је дошло до цурења информација.

Експерти су открили и фајлове са екстензијом acid*, а такве фајлове генерише тајни софтвер Acid Cryptofiler који се користи у низу организација Европске уније и НАТО-а.

Углавном су рачунари инфицирани путем електронске поште, и то тако што је за сваку жртву припремано писмо на тему која може заинтересовати управо власника дотичне електронске адресе, истакао је Виталиј Камљук у интервјуу за „Ведомости“. То је, рецимо, могао бити оглас о продаји дипломатског аутомобила. Писмо је садржало специјални тројански програм и „експлоите“ за његову инсталацију који користе рањивост пакета Microsoft Office. Ти експлоити постоје од раније, а направили су их својевремено преступници који су их користили у различитим сајбер-нападима на тибетанске активисте, као и на војне и енергетске секторе многих држава Азијског региона.

Као једну од најспецифичнијих особености софтвера сајбер-криминалаца „Касперски“ истиче модул помоћу кога се „васкрсавају“ инфицирани рачунари. Модул се убацује као плагин у Adobe Reader и Microsoft Office и омогућава нападачима да поново приступе систему у случају да главни малициозни програм буде детектован и удаљен, или да систем буде обновљен. Поред тога, он омогућава да се краду подаци и са мобилних уређаја.

Нападаче је највише интересовала Русија, као и земље Источне Европе и низ држава Централне Азије.

„Лабораторија Касперског“ наставља истраживање заједно са међународним организацијама, правосудним органима и националним интервентним екипама за реаговање у рачунарским инцидентима (Computer Emergency Response Teams, CERT).

За протеклих пет година шпијунски сајбер-напади су еволуирали од спорадичних напада који су користили конкретну рањивост до система индустријских размера, изјавио је за лист „Ведомости“ Максим Ем, извршни директор Peak Systems. Да би се добила информациа често више нису потребни циљани напади, јер су одговарајући рачунари (на пример, у државним органима) већ инфицирани, и приступ тим рачунарима се продаје власницима ботнет-мрежа (мрежа инфицираних рачунара), објаснио је он.

Росијскаја газета. Сва права задржана.