Виявлена кібермережа, що шпигує за урядовими організаціями - Лабораторія Касперського
"Лабораторія Касперського" опублікувала звіт про дослідження масштабної кампанії, що проводиться кіберзлочинцями з метою шпигунства за дипломатичними, урядовими та науковими організаціями у різних країнах світу.
Про це повідомляє прес-служба компанії.
"Дії зловмисників були спрямовані на отримання конфіденційної інформації, даних, що відкривають доступ до комп'ютерних систем, персональних мобільних пристроїв і корпоративних мереж, а також збір відомостей геополітичного характеру. Основний акцент атакуючі зробили на республіках колишнього СРСР, країнах Східної Європи, а також ряді держав у Центральній Азії", - говориться у повідомленні.
У жовтні 2012 року експерти "Лабораторії Касперського" почали розслідування серії атак на комп'ютерні мережі міжнародних дипломатичних представництв. У процесі вивчення цих інцидентів фахівці виявили масштабну кібершпіонську мережу. За підсумками її аналізу експерти дійшли висновку, що операція під кодовою назвою "Червоний жовтень" почалася ще в 2007 році і триває досі.
"Основною метою кіберзлочинців стали дипломатичні та урядові структури по всьому світу. Однак серед жертв теж зустрічаються науково-дослідні інститути, компанії, що займаються питаннями енергетики, в тому числі ядерної, космічні агентства, а також торговельні підприємства", - уточнюють у компанії.
Творці "Червоного жовтня" розробили власне шкідливе ПЗ. Для контролю мережі заражених машин кіберзлочинці використали понад 60 доменних імен і сервери, розташовані в різних країнах світу.
Злочинці викрадали із заражених систем інформацію, що міститься у файлах різних форматів. Серед інших експерти виявили файли з розширенням acid*, що говорить про їх належність до секретного програмного забезпечення Acid Cryptofiler, яке використовує ряд організацій, що входять до складу Європейського Союзу і НАТО.
Для визначення жертв кібершпіонажу експерти "Лабораторії Касперського", аналізували дані, отримані з двох основних джерел: хмарного сервісу Kaspersky Security Network (KSN) і sinkhole-серверів, призначеного для спостереження за інфікованими машинами, що виходять на зв'язок з командними серверами.
Статистичні дані KSN допомогли виявити кілька сотень унікальних інфікованих комп'ютерів, більшість з яких належали посольствам, консульствам, державним організаціям і науково-дослідним інститутам.
Дані sinkhole-серверів були отримані в період з 2 листопада 2012 року по 10 січня 2013. За цей час було зафіксовано більш як 55000 підключень із 250 заражених IP-адрес, зареєстрованих у 39 країнах. Більшість з'єднань, встановлених із заражених IP-адрес, були зафіксовані у Швейцарії, Казахстані та Греції.
"Реєстраційні дані командних серверів та інформація, що міститься у виконуваних фалах шкідливого ПЗ, дають всі підстави передбачати наявність у кіберзлочинців російськомовного коріння", - заявляють у компанії.
"Лабораторія Касперського» спільно з міжнародними організаціями, правоохоронними органами і національними Командами реагування на комп'ютерні інциденти (Computer Emergency Response Teams, CERT) продовжує розслідування операції.