Хакерска шпионска мрежа следи дипломати

 "Лаборатория Касперски" разкри шпионска мрежа, чиито организатори следят дипломатически, правителствени и научни организации в различни страни. Действията на киберпрестъпниците са насочени към получаване на фирмена информация и данни, които откриват достъп до компютърни системи, персонални мобилни устройства и корпоративни мрежи, както и събиране на информация от геополитически характер. Основната зона на действие на киберпрестъпниците са страни от бившия СССР, държави от Източна Европа, а така също и близкоизточни държави. 

Неизвестните хакери в продължение на пет години са крали кодирани файлове на ЕС и НАТО, съобщава още руската лаборатория за компютърна сигурност "Касперски". При операцията, наречена "Червения октомври", са били откраднати по електронен път документи от посолства и правителствени и военни институции в 16 от 27-те страни от ЕС - Австрия, Белгия, България, Чехия, Кипър, Финландия, Германия, Гърция, Ирландия, Италия, Латвия, Литва, Люксембург, Португалия, Словакия и Испания. Засегнати са дипломатически и правителствени компютърни мрежи в Австралия, Иран, Израел, Русия и САЩ. Според "Касперски" този списък не изчерпва жертвите на "Червения октомври". През октомври миналата година специалисти от "Лаборатория Касперски" са започнали разследване на инциденти, свързани с атаки над мрежите на редица международни дипломатически представителства. В хода на разследването специалистите са се натъкнали на мащабна шпионска кибермрежа. При анализа на мрежата те установяват, че през 2007 г. е даден ход на операция под кодовото име "Червен октомври". Основна цел на киберпрестъпниците са били дипломатически представителства, разположени по целия свят, но мишена са били и научноизследователски центрове, компании от енергийния сектор, в това число космически агенции и компании, работещи в областта на ядрената енергетика, а така също и търговски компании. Създателите на "Червен октомври", както е станало известно кодовото име на престъпната операция, са били разработили свой собствен зловреден софтуер, който притежава уникална модулна архитектура, като цел на програмата е била кражба на информация. "Лаборатория Касперски" са включили заплахата в своите антивирусни бази данни като Backdoor.Win32.Sputnik. Киберпрестъпниците са ползвали повече от 60 сървъра и домейн имена, разпръснати в различни страни по света, като голяма част от тях са били разположени в Германия и Русия. За да скрият местоположението на главния сървър, злоумишлениците използвали множество прокси сървъри. За заразяване на системите престъпниците основно ползвали фишинг имейли, които били адресирани към конкретни лица, работещи в организациите, ставали цел на престъпниците. В писмата се съдържала и троянска програма, за чието инсталиране "помагали" уязвимости в Microsoft Office. "Троянският кон" бил засечен и в имейли, с които са били атакувани редица предприятия от енергийния и военния сектор на няколко азиатски страни, а така също няколко тибетски активисти. За анализ на пораженията от дейността на киберпрестъпниците специалистите от "Лаборатория Касперски" използвали два източника - облачната услуга на руската компания Kaspersky Security Network (KSN) и sinkhole сървърите, чиято функция била да наблюдава заразените машини, които били свързани с командните сървъри. Благодарение на Kaspersky Security Network биват установени стотици заразени компютри, принадлежащи на посолства, държавни организации, консулски служби и научни центрове, като по-голямата част от тях била разположена в Източна Европа. Посредством анализа на данните от sinkhole сървърите биват установени 55 000 свързвания към 250 IP адреса, регистрирани в 39 страни. По-голямата част от връзките към тези заразени машини сочела адреси в Казахстан, Гърция и Швейцария. Една от най-впечатляващите характеристики на методите на атакуващата страна, която отбелязват от "Лаборатория Касперски", е използването на модул за възстановяване, който бива вграждан като плъгин за Adobe Reader или Microsoft Office и гарантиращ на киберпрестъпниците повторно заразяване на системите в случай, че основната програма бъде засечена и отстранена от системата или пък компютърът бъде преинсталиран. Освен това хакерите ползвали изключително усъвършенстван криптографски защитен шпионски модул, който има възможност да открадне данни от ред криптозащитни системи, като, да речем, Acid Cryptofiler, използван от организации като НАТО, ЕС и ЕК за защита на данните. Той бе въведен в системите на тези организации преди 2 г. Трета по-интересна способност на програмата е възможност за заразяване на мобилни устройства. При заразяване на работните станции програмата е способна да краде данни от мобилни устройства (най-вече смартфони), а така също и информация за мрежовото промишлено оборудване (маршрутизатори, комутационни устройства) и даже изтрити данни от външни USB носители.